國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞346個，互聯網上出現“Zettlr輸入驗證錯誤漏洞、WordPress Transposh WordPress Translation SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

新年伊始，興業銀行舉行全行消費者權益保護工作會議

深入踐行“以人民為中心”的發展思想，把做好消保工作作為底線要求、高質量發展的必由之路，從大局著眼，于細微處發力，把人民時時放在心上，真正落實“真誠服務 相伴成長”“共同興業”理念，不斷推動消保工作邁上新臺階，為全行高質量發展提供堅實保障。>>詳細

請查收！新市民金融防騙小貼士

辦理貸款請選擇正規金融機構，不應輕信來路不明的電話及網絡貸款營銷信息，正規金融機構不會在辦理貸款過程中收取費用，需要“提前支付費用”才能辦理貸款的情形就是騙局。>>詳細

【防騙指南】年關將至，如何識別和防范線上貸款詐騙風險？

蓬勃發展的數字金融，在為大眾提供便捷金融服務的同時，也成為詐騙案件滋生的溫床。近年來，線上貸款詐騙呈現案件頻發、手法多樣的特點，要怎樣做才能不落入詐騙分子精心打造的“虛假貸款”陷阱內？>>詳細

【以案說險】詐騙“粉墨登場”，年底嚴加提防

不管是什么詐騙方法，不管常見還是新鮮，記住一句話：一切違背常規的都是有問題的！>>詳細

【金融安全】臨近年末，謹防新型電信詐騙

電信網絡詐騙手段不斷升級翻新，編造的很多詐騙理由也是緊跟熱點，一旦遭遇了類似詐騙手段，記住“不轉賬”才是硬道理。>>詳細

云證通放大招，讓大額轉賬更安全、更便捷！

廊坊銀行與中國金融認證中心（CFCA）合作，接入CFCA云證通簽名服務平臺，為銀行數字化創新提供服務支撐，幫助銀行打造兼顧安全性與用戶體驗的移動金融產品。>>詳細

漲知識|防范用卡風險，保障用卡安全

信用卡作為便捷的金融支付工具，日益受到廣大消費者青睞，因此，用卡安全日益備受重視，在此提醒廣大持卡人，不要將信用卡出租、出借或交由他人保管，以免造成損失。>>詳細

CFCA開放平臺能力輸出范本——互聯PDF保障企業文檔安全

中國金融認證中心（CFCA）開放平臺提供企業可控文檔協同平臺解決方案，可以助力各行業個人、企業、機構等解決企業文檔在安全、管理和控制等方面面臨的難題。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年1月2日-8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞346個，其中高危漏洞112個、中危漏洞208個、低危漏洞26個。漏洞平均分值為6.15。上周收錄的漏洞中，涉及0day漏洞290個（占84%），其中互聯網上出現“Zettlr輸入驗證錯誤漏洞、WordPress Transposh WordPress Translation SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM AIX是美國國際商業機器（IBM）公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。IBM DB2是美國國際商業機器（IBM）公司的一套關系型數據庫管理系統。該系統的執行環境主要有UNIX、Linux、IBMi、z/OS以及Windows服務器版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行從網站信任的用戶傳輸的惡意和未經授權的操作，通過AIX SMB客戶端實現拒絕服務等。

CNVD收錄的相關漏洞包括：IBM AIX拒絕服務漏洞（CNVD-2023-00804、CNVD-2023-00807、CNVD-2023-00806、CNVD-2023-00805、CNVD-2023-00810、CNVD-2023-00809、CNVD-2023-00808）、IBM DB2跨站請求偽造漏洞（CNVD-2023-00813）。其中，“IBM AIX權限提升漏洞（CNVD-2023-00805）、IBM DB2跨站請求偽造漏洞（CNVD-2023-00813）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Pixel是美國谷歌（Google）公司的一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，獲得提升的權限，遠程執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-01051）、Google Pixel緩沖區溢出漏洞（CNVD-2023-01493、CNVD-2023-01492、CNVD-2023-01491、CNVD-2023-01490、CNVD-2023-01494、CNVD-2023-01499、CNVD-2023-01498）。其中，“Google Android權限提升漏洞（CNVD-2023-01051）、Google Pixel緩沖區溢出漏洞（CNVD-2023-01492、CNVD-2023-01490）” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei ws7200-10是中國華為（HUAWEI）公司的一款無線路由器。Huawei CV81-WDM FW是中國華為（Huawei）公司的一款激光多功能打印機。Huawei EMUI是一款基于Android開發的移動端操作系統。Huawei Magic UI是一個智能設備操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過暴力破解獲取密碼，可能導致系統敏感信息泄露，獲得打印機的最高權限，導致服務異常等。

CNVD收錄的相關漏洞包括：Huawei WS7200-10訪問控制錯誤漏洞、Huawei CV81-WDM FW輸入驗證不足漏洞、Huawei CV81-WDM FW命令注入漏洞、Huawei CV81-WDM FW輸入校驗漏洞（CNVD-2023-01056、CNVD-2023-01060）、Huawei EMUI和Magic UI拒絕服務漏洞（CNVD-2023-01057）、Huawei EMUI和Huawei Magic UI越界寫入漏洞、Huawei EMUI和Magic UI越界寫入漏洞（CNVD-2023-01059）。其中，除“Huawei WS7200-10訪問控制錯誤漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞在瀏覽器上下文中執行惡意JavaScript。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2023-00009、CNVD-2023-00605、CNVD-2023-00604、CNVD-2023-00603、CNVD-2023-00608、CNVD-2023-00607、CNVD-2023-00606、CNVD-2023-00611）。目前，廠商已經發布了上述漏洞的修補程序。

Tenda i22緩沖區溢出漏洞

Tenda i22是中國騰達（Tenda）公司的一款無線接入點。上周，Tenda i22被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞提交特殊的請求，可以在系統上下文執行任意代碼或者使應用程序崩潰。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞執行從網站信任的用戶傳輸的惡意和未經授權的操作，通過AIX SMB客戶端實現拒絕服務等。此外，Google、Huawei、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，獲得提升的權限，遠程執行任意代碼等。另外，Tenda i22被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞提交特殊的請求，可以在系統上下文執行任意代碼或者使應用程序崩潰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國郵政儲蓄銀行、興業銀行、浦發銀行、河北銀行、貴州銀行、廣東農信報道

責任編輯：韓希宇