國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞511個，互聯網上出現“Online Exam System Master.php文件SQL注入漏洞、Judging Management System SQL注入漏洞（CNVD-2023-48485）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

守住“錢袋子”｜遠離“高利誘惑” 拒絕非法集資

非法集資是指未經國務院金融管理部門依法許可或者違反國家金融管理規定，以許諾還本付息或者給予其他投資回報等方式，向不特定對象吸收資金的行為。>>詳細

金融防騙小貼士丨如何防范非法集資

遇到相關投資集資類宣傳，一定要避免頭腦發熱，先征求家人和朋友的意見，拖延一晚再決定。不要盲目相信造勢宣傳、熟人介紹、專家推薦，不要被高利誘惑盲目投資。>>詳細

守住“錢袋子”｜一圖讀懂《銀行保險機構消費者權益保護管理辦法》

《銀行保險機構消費者權益保護管理辦法》，自2023年3月1日起正式施行。>>詳細

保護金融消費者權益，建設銀行做了這些事兒

運用數字技術，打造集知識性、趣味性、互動性于一體的線上金融教育平臺，以游戲互動、答題學習、消保微電影等百姓喜聞樂見形式持續吸引客戶參與活動，常態化陪伴百姓成長。>>詳細

為他人虛擬貨幣交易轉賬匯款？當心，可能觸犯幫信罪

一起了解關于虛擬貨幣的那些事，別迷迷糊糊犯了錯。>>詳細

小鄭說消保 | 遠離非法“代理維權”

消費者應當理性維權，對因自身問題導致的債務問題、征信問題，應當通過守法守規的渠道去反映、去解決，而非“病急亂投醫”，通過一些非法手段去處理。>>詳細

消保小課堂丨普及金融知識，守護錢袋子

一般的電子紅包點擊就能領取，不需要填寫個人信息。索要個人信息的紅包不要搶！>>詳細

中國科學技術大學張衛明教授：做好科普，讓大眾了解深度偽造技術的存在，預防傳統電詐的手段就能有效預防AI詐騙

以前都說“有圖有真相”“有視頻有真相”……但自AI換臉工具出現后，這就要打一個大大的問號了。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年6月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞511個，其中高危漏洞268個、中危漏洞214個、低危漏洞29個。漏洞平均分值為6.65。上周收錄的漏洞中，涉及0day漏洞420個（占82%），其中互聯網上出現“Online Exam System Master.php文件SQL注入漏洞、Judging Management System SQL注入漏洞（CNVD-2023-48485）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Chrome類型混肴漏洞、Google Chrome Extensions組件內存錯誤引用漏洞、Google Chrome PDF組件內存錯誤引用漏洞（CNVD-2023-46113、CNVD-2023-46115、CNVD-2023-46110）、Google Chrome V8組件代碼執行漏洞（CNVD-2023-46117、CNVD-2023-46116）、Google Chrome Mojo組件代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在未經授權的情況下執行管理命令，導致用戶崩潰或提升系統權限等。

CNVD收錄的相關漏洞包括：Linux kernel命令執行漏洞、Linux kernel ntfs_set_ea越界讀取漏洞、Linux kernel緩沖區溢出漏洞（CNVD-2023-48543）、Linux kernel資源管理錯誤漏洞（CNVD-2023-48542、CNVD-2023-48540、CNVD-2023-48546、CNVD-2023-48545）、Linux kernel數字錯誤漏洞（CNVD-2023-48544）。其中，“Linux kernel資源管理錯誤漏洞（CNVD-2023-48542、CNVD-2023-48540）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在URL重定向漏洞，攻擊者可利用漏洞將用戶重定向到惡意網站。

CNVD收錄的相關漏洞包括：Adobe Experience Manager URL重定向漏洞（CNVD-2023-45904、CNVD-2023-45903、CNVD-2023-45901、CNVD-2023-45906、CNVD-2023-45905、CNVD-2023-45909、CNVD-2023-45908、CNVD-2023-45907）。目前，廠商已經發布了上述漏洞的修補程序。

Juniper Networks產品安全漏洞

Juniper Networks Junos OS是美國瞻博網絡（Juniper Networks）公司的一套專用于該公司的硬件設備的網絡操作系統。該操作系統提供了安全編程接口和Junos SDK。Juniper Networks Junos OS Evolved是美國瞻博網絡（Juniper Networks）公司的Junos OS的升級版系統。Juniper Networks Paragon Active Assurance是美國瞻博網絡（Juniper Networks）公司的一種可編程的測試和服務保證解決方案。使用基于軟件和流量生成的測試代理，可作為SaaS解決方案從云中輕松使用和交付，或在NFV環境中本地部署。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過控制臺訪問控制，將潛在的惡意文件復制到本地系統上的現有Docker容器中，隨后管理員可能會無意中啟動Docker容器，導致惡意文件以root身份執行等。

CNVD收錄的相關漏洞包括：Juniper Networks Junos OS訪問控制錯誤漏洞（CNVD-2023-48478）、Juniper Networks Junos OS Evolved權限提升漏洞、Juniper Networks Junos OS資源管理錯誤漏洞（CNVD-2023-48482、CNVD-2023-49464）、Juniper Networks Junos OS輸入驗證錯誤漏洞（CNVD-2023-48481）、Juniper Networks Junos OS拒絕服務漏洞（CNVD-2023-49463）、Juniper Networks Junos OS bbe-smgd拒絕服務漏洞、Juniper Networks Paragon Active Assurance跨站腳本漏洞。其中，“Juniper Networks Junos OS訪問控制錯誤漏洞（CNVD-2023-48478）、Juniper Networks Paragon Active Assurance跨站腳本漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TP-Link Archer VR1600V命令注入漏洞

TP-Link Archer VR1600V是中國普聯（TP-LINK）公司的一款無線調制解調器。上周，TP-Link Archer VR1600V被披露存在命令注入漏洞。攻擊者可利用該漏洞以管理員用戶身份通過“X_TP_IfName”參數打開操作系統級shell。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或導致應用程序崩潰。此外，Linux、Adobe、Juniper Networks等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在未經授權的情況下執行管理命令，導致用戶崩潰或提升系統權限等。另外，TP-Link Archer VR1600V被披露存在命令注入漏洞。攻擊者可利用該漏洞以管理員用戶身份通過“X_TP_IfName”參數打開操作系統級shell。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、每日經濟新聞、中國銀行、今日建行、興業銀行、鄭州銀行、蒙商銀行報道

責任編輯：韓希宇