國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞595個，互聯網上出現“Tenda AC21緩沖區溢出漏洞、D-Link DIR820LA1命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工業和信息化部等八部門關于推進IPv6技術演進和應用創新發展的實施意見

統籌發展和安全，強化技術安全管理和防護手段建設，做到安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用。>>詳細

科技賦能 構建反假幣數字化防線

利用大數據分析技術，在柜面收付、現金清分環節，對標假幣數據庫進行實時流式運算，實現在柜面收付、或后臺清分環節，智能化、精準識別假幣，通過電腦彈窗、短信預警，秒級輸出假幣“命中”結果。>>詳細

消?？俊捌帧?｜先繳費再放款？警惕這類貸款詐騙！

消費者如有信貸服務需求，應通過正規金融機構渠道辦理，在業務辦理前，應多咨詢正規金融機構專業人員，警惕不法中介機構的非法營銷行為。>>詳細

以案說險｜名為轉賬驗資、實為電信詐騙

當前，電信網絡詐騙形式多樣、手段隱蔽，不法分子鼓吹的“投資項目”五花八門，一些看似賺錢的“投資方法”就是不法分子布下的陷阱。>>詳細

金教基地 | 金融安全知識進校園

晉商銀行將持續開展金融知識普及活動，承擔社會責任，加大金融知識宣傳的力度和廣度，為廣大師生提供更加優質的金融服務。>>詳細

【以案說險】不明鏈接有風險，守住您的錢袋子

不要輕信來歷不明的電話和手機短信，需要通過其他渠道核實。切莫貪圖小恩小惠。>>詳細

鯉想金融小課堂：非法集資的四個常見手法

今天鯉想為大家帶來了“非法集資常見手段”，提醒廣大市民，要提高風險防范意識，自覺抵制非法集資。>>詳細

安全|看這里！給您一個銀行卡安全使用小錦囊~

一旦發現有偽卡交易和賬戶盜用等非本人授權交易時，應當第一時間凍結、掛失卡片，避免再次遭受盜刷，同時在發卡機構的指導下留存證據，按照相關規則進行差錯爭議處理。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年4月17日-23日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞595個，其中高危漏洞254個、中危漏洞309個、低危漏洞32個。漏洞平均分值為6.43。上周收錄的漏洞中，涉及0day漏洞501個（占84%），其中互聯網上出現“Tenda AC21緩沖區溢出漏洞、D-Link DIR820LA1命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Substance 3D Designer是美國奧多比（Adobe）公司的一款3D設計軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Designer堆緩沖區溢出漏洞（CNVD-2023-29793、CNVD-2023-29794）、Adobe Substance 3D Designer堆棧緩沖區溢出漏洞、Adobe Substance 3D Designer越界讀取漏洞（CNVD-2023-29799、CNVD-2023-29801、CNVD-2023-29800）、Adobe Substance 3D Designer內存錯誤引用漏洞（CNVD-2023-29802、CNVD-2023-29803）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Landscape Management是德國思愛普（SAP）公司的一套SAP產品集中管理系統。SAP NetWeaver AS Java是一款提供了Java運行環境的應用程序服務器。該產品主要用于開發和運行Java EE應用程序。SAP ABAP Platform是一個基于ABAP的SAP解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和修改一些敏感信息，提升權限等。

CNVD收錄的相關漏洞包括：SAP Landscape Management信息泄露漏洞（CNVD-2023-28117）、SAP NetWeaver AS Java訪問控制錯誤漏洞、SAP ABAP Platform路徑遍歷漏洞、SAP NetWeaver AS Java授權問題漏洞（CNVD-2023-28121）、SAP NetWeaver AS授權問題漏洞、SAP NetWeaver Application Server訪問控制錯誤漏洞、SAP NetWeaver跨站腳本漏洞（CNVD-2023-28125）、SAP NetWeaver AS輸入驗證錯誤漏洞（CNVD-2023-28124）。其中，“SAP Landscape Management信息泄露漏洞（CNVD-2023-28117）、SAP ABAP Platform路徑遍歷漏洞、SAP NetWeaver AS授權問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Management Center（FMC）是美國思科（Cisco）公司的新一代防火墻管理中心軟件。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞對受影響設備進行存儲型跨站腳本（XSS）攻擊 。

CNVD收錄的相關漏洞包括：Cisco Firepower Management Center跨站腳本漏洞（CNVD-2023-28093、CNVD-2023-28092、CNVD-2023-28096、CNVD-2023-28095、CNVD-2023-28094、CNVD-2023-28100、CNVD-2023-28099、CNVD-2023-28098）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft PostScript Printer Driver是美國微軟（Microsoft）公司的用于PostScript打印機的Microsoft標準打印機驅動程序。Microsoft PCL6 Class Printer Driver是一個打印機驅動軟件。Microsoft Windows是一款窗口化操作系統。Microsoft Azure是一套開放的企業級云計算平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，特權提升，遠程執行代碼等。

CNVD收錄的相關漏洞包括：Microsoft PostScript and PCL6 Class Printer Driver遠程代碼執行漏洞（CNVD-2023-28102、CNVD-2023-28103、CNVD-2023-28109、CNVD-2023-28111）、Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-28105）、Microsoft PostScript and PCL6 Class Printer Driver權限提升漏洞、Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2023-29362）、Microsoft Azure Service Connector安全功能繞過漏洞。其中，除“Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-28105）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell PowerPath Management Appliance信息泄露漏洞

Dell PowerPath Management Appliance是美國戴爾（Dell）公司的一種PowerPath主機管理應用程序，提供兩種模型：基于虛擬機的設備和Docker容器化設備。上周，Dell PowerPath Management Appliance被披露存在信息泄露漏洞，攻擊者可利用該漏洞查看儲存在日志中的敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，SAP、Cisco、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞對受影響設備進行存儲型跨站腳本（XSS）攻擊，導致信息泄露，特權提升，遠程執行代碼等。另外，Dell PowerPath Management Appliance被披露存在信息泄露漏洞，攻擊者可利用該漏洞查看儲存在日志中的敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工業和信息化部、中國銀行財富金融、遇見浦發、晉商銀行、河北銀行、廣東農信、廊坊銀行掌上資訊、興業數金報道

責任編輯：韓希宇