國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞298個，互聯網上出現“Subrion CMS跨站腳本漏洞（CNVD-2023-23822）、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

支付清算協會：已暴露出跨境數據泄露等風險，倡導支付從業者謹慎使用ChatGPT等工具

為有效應對風險、保護客戶隱私、維護數據安全，提升支付清算行業的數據安全管理水平，中國支付清算協會向行業發出三條倡議。>>詳細

【提醒】如何守住你的隱私？注意這些細節！

點擊陌生鏈接很可能會泄露個人信息，黑客最常用的方式就是在鏈接中添加木馬病毒。>>詳細

情暖新市民，護好“錢袋子”，浦發銀行在行動

如何切實提升社會公眾金融素養，有效防范化解金融風險，理性選擇適合自己的金融產品和服務，更好地滿足“新市民”群體對美好生活的向往，金融要有擔當，金融服務要跟上。>>詳細

“智能建?！?，引領反詐風險管理新航向

伴隨著長行智能化、數字化轉型的腳步，長沙銀行現已成立賬戶風險管理智能建模項目組。>>詳細

【以案說險】直播帶貨套路多，理性消費記心窩

隨著網絡的發達和直播行業的興起，不少企業利用網絡直播漏洞欺詐消費者，網絡購物時，消費者應該擦亮眼睛，必要時要維護自己的合法權益。>>詳細

【小We談消?！糠欠Y新套路！不得都防一下??！

不要輕易相信所謂的高息“保險”、高息“理財”，高收益意味著高風險，理性選擇合法正規的投資渠道，自覺抵制各種誘惑，遠離非法集資活動，是對我們錢袋子最大的保護。>>詳細

【消保知識】電詐手法揭秘篇（一）

小AI總結了常見電詐手段，請廣大消費者注意防范，切實維護自身合法權益。>>詳細

北部灣銀行南寧城北支行準確識別電信詐騙 守護群眾“錢袋子”

近日，廣西北部灣銀行南寧市城北支行營業部準確識別電信詐騙，為客戶避免經濟損失十余萬元。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年4月3日-9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞298個，其中高危漏洞116個、中危漏洞157個、低危漏洞25個。漏洞平均分值為6.19。上周收錄的漏洞中，涉及0day漏洞251個（占84%），其中互聯網上出現“Subrion CMS跨站腳本漏洞（CNVD-2023-23822）、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，通過精心設計的HTML頁面潛在地利用堆損壞。

CNVD收錄的相關漏洞包括：Google Chrome ANGLE越界讀取漏洞、Google Chrome ANGLE內存錯誤引用漏洞（CNVD-2023-23573）、Google Pixel bta_av_co.cc文件緩沖區溢出漏洞、Google Chrome越界訪問漏洞、Google Pixel ble_scanner_hci_interface.cc文件緩沖區溢出漏洞、Google Chrome Web Payments API組件代碼問題漏洞、Google Chrome Navigation組件代碼問題漏洞、Google Android緩沖區溢出漏洞（CNVD-2023-25101）。其中“Google Chrome ANGLE越界讀取漏洞、Google Chrome ANGLE內存錯誤引用漏洞（CNVD-2023-23573）、Google Chrome越界訪問漏洞、Google Android緩沖區溢出漏洞（CNVD-2023-25101）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Dubbo是美國阿帕奇（Apache）基金會的一款基于Java的輕量級RPC（遠程過程調用）框架。該產品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發現等功能。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Kafka是美國阿帕奇（Apache）基金會的一套開源的分布式流媒體平臺。該平臺能夠獲取實時數據，用于構建對數據流的變化進行實時反應的應用程序。Apache ShenYu是美國阿帕奇（Apache）基金會的一個異步的，高性能的，跨語言的，響應式的API網關。Apache Commons FileUpload是美國阿帕奇（Apache）基金會的一個可將文件上傳到Servlet和Web應用程序的軟件包。Apache NiFi是美國阿帕奇（Apache）基金會的一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。Apache Fineract是美國阿帕奇（Apache）基金會的一套開源數字金融服務平臺。該平臺能夠為用戶提供數據管理、貸款和儲蓄投資組合管理以及實時財務數據等功能。Apache Archiva是美國阿帕奇（Apache）基金會的一套用于管理一個或多個遠程存儲的軟件。該軟件提供遠程Repository代理、基于角色的安全訪問管理和使用情況報告等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在受害者的系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Apache Dubbo代碼問題漏洞（CNVD-2023-23551）、Apache Airflow信息泄露漏洞（CNVD-2023-23550）、Apache Kafka代碼問題漏洞（CNVD-2023-23554）、Apache ShenYu授權問題漏洞（CNVD-2023-23553）、Apache Commons FileUpload拒絕服務漏洞（CNVD-2023-23552）、Apache NiFi XML外部實體注入漏洞（CNVD-2023-23555）、Apache Fineract SQL注入漏洞（CNVD-2023-23557）、Apache Archiva跨站腳本漏洞（CNVD-2023-23556）。其中，除“Apache Airflow信息泄露漏洞（CNVD-2023-23550）、Apache Fineract SQL注入漏洞（CNVD-2023-23557）、Apache Archiva跨站腳本漏洞（CNVD-2023-23556）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Editor是中國福昕（Foxit）公司的一款PDF編輯器。Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Editor遠程代碼執行漏洞（CNVD-2023-23560、CNVD-2023-23563）、Foxit PDF Reader遠程代碼執行漏洞（CNVD-2023-23565、CNVD-2023-23566、CNVD-2023-23568、CNVD-2023-23567、CNVD-2023-23570、CNVD-2023-23569）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Delta Electronics產品安全漏洞

Delta Electronics InfraSuite Device Master是Delta Electronics的用于簡化和自動化關鍵設備監控的設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取本地文件、公開明文憑據并升級權限，遠程執行代碼等。

CNVD收錄的相關漏洞包括：Delta Electronics InfraSuite Device Master路徑遍歷漏洞（CNVD-2023-23884、CNVD-2023-23890）、Delta Electronics InfraSuite Device Master反序列化漏洞（CNVD-2023-23883、CNVD-2023-23887）、Delta Electronics InfraSuite Device Master認證錯誤漏洞、Delta Electronics InfraSuite Device Master身份驗證錯誤漏洞、Delta Electronics InfraSuite Device Master命令注入漏洞、Delta Electronics InfraSuite Device Master訪問控制錯誤漏洞（CNVD-2023-23889）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Home Owners Collection Management System文件上傳漏洞

Home Owners Collection Management System是一個業主收款管理系統。上周，Home Owners Collection Management System被披露存在文件上傳漏洞。攻擊者可利用該漏洞通過精心制作的PHP文件執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，通過精心設計的HTML頁面潛在地利用堆損壞。此外，Apache、Foxit、Delta Electronics等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在受害者的系統上執行任意代碼等。另外，Home Owners Collection Management System被披露存在文件上傳漏洞。攻擊者可利用該漏洞通過精心制作的PHP文件執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國建設銀行、遇見浦發、貴州銀行、快樂長行人、廣西北部灣銀行微生活、微眾銀行、百信銀行報道

責任編輯：韓希宇