國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞337個，互聯網上出現“Badaso跨站腳本漏洞、Bento4拒絕服務漏洞（CNVD-2023-66174）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

確診了！這些詐騙“癥狀”你中招了嗎？

不要輕信“內部渠道”“低價購票”’等信息，以各種理由要你反復付款、繳納保證金的都是詐騙。>>詳細

【反詐】警惕“征信修復”騙局，謹防上當受騙

征信修復和洗白，偽造材料編理由。轉賬匯款刷流水，收到錢后就失聯。按時還款不逾期，關鍵信息別泄漏。提高警惕防詐騙，中信哨兵沖在前。>>詳細

八旬老人險些被騙80萬，還好有他們！

興業銀行工作人員憑借專業的研判甄別能力和果斷的應急處理技巧成功幫助客戶挽回了80余萬元資金損失。>>詳細

反詐專欄｜機敏警惕巧攔截 警銀協作筑防線

切勿在來歷不明的網絡平臺及APP上投資、炒股或進行虛擬幣交易。切勿相信網絡上的非法引流廣告，不盲目聽從所謂的“高手”、“專家”、“導師”的指導，摒棄一夜暴富心理。>>詳細

金教基地 | 開學季警惕校園網貸

大學生應合理規劃日常開支，理性消費，不攀比，不盲從，不炫耀，避免沖動消費。>>詳細

這不是一個普通的“電詐受騙人”！杭州銀行西興支行協助公安發現轉移非法資金團伙

營業經理排查發現，L某的賬戶時當月發生了二十余筆交易，交易對手超二十人，交易額超叁佰萬元，根據既往經驗，高度懷疑該客戶交易存在可疑，遂立即報警。>>詳細

【消保小講堂】開學季防詐指南

涉及錢款交易需警惕，收到陌生號碼發來的短信，先通過語音通話等方式確認其身份，或主動與校方、老師核實是否確有其事。>>詳細

警惕！別讓“開學季”變成騙子的“發財季”

要不斷學習鑒別技巧，了解常見的詐騙手段和騙術，提高防詐意識和鑒詐能力。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年8月28日-9月3日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞337個，其中高危漏洞130個、中危漏洞186個、低危漏洞21個。漏洞平均分值為6.58。上周收錄的漏洞中，涉及0day漏洞212個（占63%），其中互聯網上出現“Badaso跨站腳本漏洞、Bento4拒絕服務漏洞（CNVD-2023-66174）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

DELL產品安全漏洞

Dell PowerScale OneFS是美國戴爾（Dell）公司的一個操作系統。提供橫向擴展NAS的PowerScale OneFS操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，導致拒絕服務，代碼執行和信息泄露等。

CNVD收錄的相關漏洞包括：Dell PowerScale OneFS保護機制繞過漏洞、Dell PowerScale OneFS信息泄露漏洞（CNVD-2023-65214、CNVD-2023-65223）、Dell PowerScale OneFS權限提升漏洞（CNVD-2023-65220、CNVD-2023-65218、CNVD-2023-65217、CNVD-2023-65221、CNVD-2023-65213）。其中，“Dell PowerScale OneFS保護機制繞過漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過文件訪問限制，執行任意代碼，導致瀏覽器關閉等。

CNVD收錄的相關漏洞包括：Google Chrome類型混淆漏洞（CNVD-2023-65154）、Google Chrome Skia緩沖區溢出漏洞（CNVD-2023-65153）、Google Chrome Extensions內存錯誤引用漏洞（CNVD-2023-65152）、Google Chrome數據偽造問題漏洞（CNVD-2023-65156）、Google Chrome輸入驗證錯誤漏洞（CNVD-2023-65155、CNVD-2023-65158）、Google Chrome內存錯誤引用漏洞（CNVD-2023-65163、CNVD-2023-65162）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Business One是德國思愛普（SAP）公司的一套企業管理軟件。該軟件包括財務管理、運營管理和人力資源管理等功能。SAP Host Agent是一套支持操作系統監視、數據庫監視和系統實例監視等多項生命周期管理任務的代理程序。SAP Supplier Relationship Management（SRM）是一套供應商關系管理解決方案。該產品實現了企業內以及供應商之間采購和購置流程的自動化，并提供發票開具等功能。SAP PowerDesigner是一款數據庫設計軟件。SAP NetWeaver Process Integration（PI）是一套SAP企業應用程序集成軟件，是NetWeaver產品組的一個組件。該組件主要用于內部系統與外部的信息交換。SAP NetWeaver Enterprise Portal是一個SAP NetWeaver的Web前端組件。SAP Solution Manager是一套集系統監控、SAP支持桌面、自助服務、ASAP實施等多個功能為一體的系統管理平臺。該平臺可以幫助客戶建立SAP解決方案的生命周期管理，并提供系統監控、遠程支持服務和SAP產品組件升級等功能。SAP NetWeaver是德國思愛普（SAP）公司的一套面向服務的集成化應用平臺。該平臺主要為SAP應用程序提供開發和運行環境。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入惡意腳本或HTML代碼，當惡意數據被查看時，可獲取敏感信息或劫持用戶會話，執行無目標HTTP請求，導致系統受損等。

CNVD收錄的相關漏洞包括：SAP Business One信息泄露漏洞（CNVD-2023-65177）、SAP Host Agent信息泄露漏洞（CNVD-2023-65176）、SAP Supplier Relationship Management信息泄露漏洞、SAP PowerDesigner訪問控制錯誤漏洞、SAP NetWeaver Process Integration訪問控制錯誤漏洞（CNVD-2023-65180）、SAP NetWeaver Enterprise Portal跨站腳本漏洞（CNVD-2023-65184）、SAP Solution Manager代碼問題漏洞、SAP NetWeaver路徑遍歷漏洞（CNVD-2023-65181）。其中，“SAP PowerDesigner訪問控制錯誤漏洞、SAP NetWeaver路徑遍歷漏洞（CNVD-2023-65181）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Trend Micro產品安全漏洞

Trend Micro Apex One是美國趨勢科技（Trend Micro）公司的一款終端防護軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞將任意文件上傳到管理服務器，從而導致使用系統權限遠程執行代碼，提升權限，并將任意值寫入代理子密鑰等。

CNVD收錄的相關漏洞包括：Trend Micro Apex One權限提升漏洞（CNVD-2023-65418、CNVD-2023-65417、CNVD-2023-65421、CNVD-2023-65420、CNVD-2023-65419、CNVD-2023-65424）、Trend Micro Apex One訪問控制錯誤漏洞（CNVD-2023-65422）、Trend Micro Apex One路徑遍歷漏洞。其中，“Trend Micro Apex One路徑遍歷漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TP-LINK Smart bulb Tapo series L530和Tapo Application信息泄露漏洞

TTP-LINK Smart bulb Tapo是中國普聯（TP-LINK）公司的一款智能燈泡。上周，TP-LINK Smart bulb Tapo series L530和Tapo Application被披露存在信息泄露漏洞。攻擊者可利用該漏洞通過AES128-CBC功能中的IV組件獲取敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，DELL產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，導致拒絕服務，代碼執行和信息泄露等。此外，Google、SAP、Trend Micro等多款產品被披露存在多個漏洞，攻擊者可利用漏洞注入惡意腳本或HTML代碼，繞過文件訪問限制，提升權限，執行任意代碼等。另外，TP-LINK Smart bulb Tapo series L530和Tapo Application被披露存在信息泄露漏洞。攻擊者可利用漏洞通過AES128-CBC功能中的IV組件獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀聯、中信銀行、興業銀行、恒豐銀行總行、晉商銀行、杭州銀行微訊、桂林銀行金融服務、常熟農商銀行報道

責任編輯：韓希宇