國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞536個，互聯網上出現“Microfinance Management System SQL注入漏洞、Radare2緩沖區溢出漏洞（CNVD-2022-81355）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

防詐騙！新市民之個人信息保護

新市民個人信息非常重要，如果泄露會帶來很多麻煩，輕則接到騷擾電話，重則遭受財產損失，甚至威脅到人身安全。>>詳細

【提示】網購騙局花樣多，支付安全要牢記！

轉賬需謹慎，保持冷靜的思考，提高防范意識，不要輕易相信別人，避免受騙的事情發生。>>詳細

普及金融小常識 | 這些理性消費熱詞你get到了嗎？

隨著生活水平的不斷提高，消費方式也越來越多元化，現在年輕人沖動，盲目消費的現象時有發生，那么如何樹立理性的消費觀呢？讓小湖帶大家來學習吧。>>詳細

電信網絡詐騙花招多 防詐錦囊請收好

詐騙手段千千萬，提高警惕可防范，詐騙劇本時常翻新，讓人防不勝防，這4個防詐騙錦囊請您收下，保持警惕，守好“錢袋子”。>>詳細

止損226萬！謹防假“客服”伸向你錢包的“魔爪”

不要隨意下載陌生APP，不要輕易開啟會議類APP中的“屏幕共享”功能，因為“屏幕共享”后對方可以看到你手機顯示的所有信息，包括各類密碼和短信驗證碼。>>詳細

警惕冒充“公檢法”來電，避免落入電信詐騙圈套

下載國家反詐中心APP，智能識別騙子身份并及時預警提示，及時接聽96110來電，有疑問時，應及時向正規金融機構求助或撥打110，以免掉入不法分子設下的陷阱！>>詳細

警惕|非法買賣銀行卡，害人害己禍無窮

《刑法》規定:明知他人利用信息網絡實時犯罪，為其犯罪提供支付結算幫助，情節嚴重的，處3年以下有期徒期或者拘役，并處或者單處罰金。>>詳細

多家機構首批通過“個人金融信息保護能力”認證，金融行業個人信息保護怎么做？

隨著《數據安全法》、《個人信息保護法》的發布，以及金融行業出臺眾多個人金融信息、數據安全相關標準，各金融機構在多方監管要求下逐步加強對個人信息和數據安全的重視。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年11月21日-27日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞536個，其中高危漏洞193個、中危漏洞261個、低危漏洞82個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞344個（占64%），其中互聯網上出現“Microfinance Management System SQL注入漏洞、Radare2緩沖區溢出漏洞（CNVD-2022-81355）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Dimension是美國Adobe公司的一套2D和3D合成設計工具。Adobe InDesign是一套排版編輯應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Dimension內存錯誤引用漏洞（CNVD-2022-78869）、Adobe Dimension越界讀取漏洞（CNVD-2022-78868）、Adobe InDesign越界讀取漏洞（CNVD-2022-79424、CNVD-2022-79423）、Adobe InDesign堆緩沖區溢出漏洞（CNVD-2022-79412、CNVD-2022-79422、CNVD-2022-79425）、Adobe InDesign越界寫入漏洞（CNVD-2022-79413）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache SOAP是美國阿帕奇（Apache）基金會的一個可用作客戶端庫來調用其他地方可用的SOAP服務，也可以用作服務器端工具來實現SOAP可訪問服務。Apache Airflow是一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache DolphinScheduler是一個分布式的基于DAG可視化的工作流任務調度系統。Apache InLong是一站式的海量數據集成框架，提供自動化、安全、可靠的數據傳輸能力。Apache MINA是一款網絡應用程序框架，該產品主要用于開發高性能和高可伸縮性的網絡應用程序。Apache Dubbo是一款基于Java的輕量級RPC（遠程過程調用）框架，該產品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發現等功能。Velocity Engine是用于Web開發的基于Java的模板引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞觸發DAGs，通過手動提供run_id參數執行任意命令，通過日志服務器讀取任何文件等。

CNVD收錄的相關漏洞包括：Apache SOAP身份驗證錯誤漏洞、Apache Airflow信息泄露漏洞（CNVD-2022-78863）、Apache Airflow代碼注入漏洞、Apache DolphinScheduler路徑遍歷漏洞、Apache InLong反序列化漏洞、Apache MINA反序列化漏洞、Apache Dubbo反序列化漏洞、Apache Velocity Engine代碼執行漏洞。其中，除“Apache DolphinScheduler路徑遍歷漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。Google Chrome是一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致程序崩潰，任意代碼執行，藍牙設置中的權限升級等。

CNVD收錄的相關漏洞包括：Google TensorFlow緩沖區溢出漏洞（CNVD-2022-80680、CNVD-2022-80683）、Google TensorFlow代碼問題漏洞（CNVD-2022-80685）、Google Chrome資源管理錯誤漏洞（CNVD-2022-81239、CNVD-2022-81238、CNVD-2022-81243）、Google Android權限提升漏洞（CNVD-2022-81237）、Google Chrome Internals堆緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP和F5 BIG-IP Guided Configuration（GC）都是美國F5公司的產品。F5 BIG-IP是一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP Guided Configuration是一個配置模板。F5 BIG-IP AFM是一款用于防護DDos攻擊的高級防火墻產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在BIG-IP系統上造成拒絕服務，在當前登錄用戶的上下文中運行JavaScript，上傳惡意制作的文件，執行任意命令等。

CNVD收錄的相關漏洞包括：F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2022-79943）、F5 BIG-IP代碼問題漏洞（CNVD-2022-79944、CNVD-2022-79947）、F5 BIG-IP多款產品跨站腳本漏洞、F5 BIG-IP日志信息泄露漏洞、F5 BIG-IP資源管理錯誤漏洞（CNVD-2022-79953）、F5 BIG-IP安全特征問題漏洞、F5 BIG-IP AFM代碼問題漏洞。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-823G命令執行漏洞

D-Link DIR-823G是中國友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-823G被披露存在命令執行漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Apache、Google、F5等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致程序崩潰，上傳惡意制作的文件，執行任意命令，通過日志服務器讀取任何文件等。另外，D-Link DIR-823G被披露存在命令執行漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國郵政儲蓄銀行、杭州銀行微訊、湖北銀行、廣東南粵銀行、廣東農信、廣州農村商業銀行、重慶農村商業銀行報道

責任編輯：韓希宇