國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞298個，互聯網上出現“Tenda RX9 Pro setIPv6Status緩沖區溢出漏洞、Bento4拒絕服務漏洞（CNVD-2023-27653）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防騙】警惕“降低貸款利率”詐騙！

陌生來電勿輕信，自稱客服要警惕，掃碼調利是騙局，個人信息要保密。>>詳細

【警惕】教您識破釣魚網站詐騙套路！

釣魚網站詐騙套路千變萬化，莫慌，小招喵今天來出招，帶您識破釣魚網絡詐騙手法！>>詳細

關于調整網絡安全專用產品安全管理有關事項的公告

具備資格的機構是指列入《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄》的機構。>>詳細

反詐手記 | 小茄子解密騙局背后的故事，讓騙子無處遁形

詐騙手段日益更新，資金轉移方式五花八門，我們要提高防范意識，識破騙子的層層圈套，讓我們和小茄子一起，守護好自己的錢袋子。>>詳細

以案說險，守護老年人資金安全

浦浦發發提醒老年消費者：投資理財“高收益”，血本無歸是結局。要樹立理性投資理財觀念，謹記投資是有風險的，警惕各類標榜“低風險、高回報”的投資理財項目，切莫受高收益誘惑而沖動投資。>>詳細

連續成功司法打擊，打黑這件事平安是認真的

平安銀行秉持“專業創造價值”理念和對非法“代理維權”黑產絕不妥協的態度，積極開展打擊金融黑產工作。>>詳細

【小河講反洗錢】警惕演唱會“黃?！毕葳?/span>

不通過正規平臺交易，以各種理由要你反復付款，退款還要提交保證金的，絕對是騙子。>>詳細

【知識】反詐拒賭，教您如何防范電信詐騙！

陌生信息不輕信，陌生鏈接不點擊，陌生軟件不安裝，陌生WiF不連接。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年4月10日-16日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞298個，其中高危漏洞446個，其中高危漏洞243個、中危漏洞173個、低危漏洞30個。漏洞平均分值為6.53。上周收錄的漏洞中，涉及0day漏洞391個（占88%），其中互聯網上出現“Tenda RX9 Pro setIPv6Status緩沖區溢出漏洞、Bento4拒絕服務漏洞（CNVD-2023-27653）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Dimension是美國奧多比（Adobe）公司的是一套2D和3D合成設計工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Dimension越界讀取漏洞（CNVD-2023-25103、CNVD-2023-25105、CNVD-2023-25106、CNVD-2023-27689）、Adobe Dimension堆緩沖區溢出漏洞（CNVD-2023-25104、CNVD-2023-25109、CNVD-2023-25112、CNVD-2023-25111）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限。

CNVD收錄的相關漏洞包括：Google Android越界讀取漏洞（CNVD-2023-26065）、Google Android信息泄露漏洞（CNVD-2023-26071）、Google Android權限提升漏洞（CNVD-2023-26069、CNVD-2023-26070、CNVD-2023-26072、CNVD-2023-26073、CNVD-2023-26074、CNVD-2023-26078）。其中，除“Google Android信息泄露漏洞（CNVD-2023-26071）、Google Android權限提升漏洞（CNVD-2023-26078）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache OpenOffice是美國阿帕奇（Apache）基金會的一款開源的辦公軟件套件。該套件包含文本文檔、電子表格、演示文稿、繪圖、數據庫等。Apache UIMA DUCC是美國阿帕奇（Apache）基金會的一套集群管理系統。該系統提供工具，管理和調度工具。Apache InLong是美國阿帕奇（Apache）基金會的一站式的海量數據集成框架。Apache Sling是美國阿帕奇（Apache）基金會的一個Java平臺的開源Web框架。旨在在符合JSR-170的內容存儲庫（例如Apache Jackrabbi）上創建以內容為中心的應用程序。Apache Kerby是美國阿帕奇（Apache）基金會的一個Java Kerberos綁定。提供了豐富、直觀和可互操作的實現、庫、KDC和各種設施，可根據現代環境（如云、Hadoop 和移動）的需要集成PKI、OTP和令牌（OAuth2）。Apache Dubbo是美國阿帕奇（Apache）基金會的一款基Jav的輕量級RPC（遠程過程調用）框架。該產品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發現等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼等。

CNVD收錄的相關漏洞包括：Apache OpenOffice代碼執行漏洞（CNVD-2023-25931）、Apache OpenOffice代碼問題漏洞、Apache UIMA DUCC命令注入漏洞、Apache Sling JNDI注入漏洞、Apache Kerby LDAP注入漏洞、Apache Dubbo代碼問題漏洞（CNVD-2023-25935）、Apache InLong反序列化漏洞（CNVD-2023-25936、CNVD-2023-25934）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在當前進程的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Reader緩沖區溢出漏洞（CNVD-2023-25114）、Foxit PDF Reader資源管理錯誤漏洞（CNVD-2023-25118、CNVD-2023-25117、CNVD-2023-25116、CNVD-2023-25121、CNVD-2023-25120、CNVD-2023-25119、CNVD-2023-25122）。其中，除“Foxit PDF Reader緩沖區溢出漏洞（CNVD-2023-25114）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-846命令執行漏洞（CNVD-2023-27681）

D-Link DIR-846是中國友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-846被披露存在命令執行漏洞，攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Google、Apache、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。另外，D-Link DIR-846被披露存在命令執行漏洞，攻擊者可利用該漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、中國建設銀行、招商銀行、浦發銀行、平安銀行、財富光大、河北銀行、江西轄內農商銀行微銀行報道

責任編輯：韓希宇