國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞369個，互聯網上出現“JFinalCMS目錄遍歷漏洞、WordPress Leyka plugin跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

瞄準睡眠賬戶 銀行開啟新一輪清卡行動

多家銀行表示，此舉是為有效防范電信網絡新型違法犯罪，保障客戶的賬戶與資金安全和合法權益。>>詳細

農業銀行全面開展“五進入”金融消費者權益保護教育宣傳活動

農業銀行緊緊圍繞“匯聚金融力量，共創美好生活”主題，積極開展進鄉村、進社區、進校園、進企業、進商圈教育宣傳活動，著力提高人民群眾的獲得感、幸福感、安全感，以實際行動踐行以人民為中心的發展理念。>>詳細

篤行金融為民理念 交行開展“金融消費者權益保護教育宣傳月”活動

38家省直分行及所有分支機構、信用卡中心，以及交銀理財、交銀人壽、交銀基金等子公司精心部署、有效聯動、密切配合，以精心籌備的宣傳內容和多元化的活動形式向社會公眾傳播有益的金融知識。>>詳細

“技防+人防”共筑金融反詐防火墻 中信銀行切實保護金融消費者權益

近年來，中信銀行積極踐行“金融為民”理念，通過“技防+人防”相結合，深層次筑牢金融反詐防火墻，切實保護金融消費者權益，有力保障了客戶資金安全。>>詳細

匯聚金融力量 堅持人民至上 光大銀行開展“五進入”集中教育宣傳活動

以“責任消保、文化消保、智慧消?！睘樘厣?，“金融教育和利民惠民”為主線，圍繞“新小老鄉”等群體，創新宣傳形式，普及金融知識，傳遞光大力量。>>詳細

安全課堂 | 假期出行，謹防“機票退改簽”詐騙！

涉及付款時，不法分子往往會引導乘客通過輸入驗證碼、轉賬的方式實施詐騙，遇到轉賬要求應馬上拒絕，切勿提供自己的銀行卡號、短信驗證碼等信息。>>詳細

金融知識普及月丨電信詐騙防范知識，您需要知道！

對接到培訓通知、冒充銀行、公檢法機構等聲稱銀行卡升級和虛假招工、婚介類的詐騙，要及時向本地的相關單位和行業或親臨其辦公地點進行咨詢、核對，不要輕信陌生電話和信息。>>詳細

【2023年金融消費者權益保護教育宣傳月】小心“積分清零”圈套

詐騙分子用偽裝的號碼，向受害人發送帶有釣魚鏈接的短信，謊稱“回饋用戶積分可兌換精美禮品”，誘使受害人進入釣魚網站輸入身份證號、銀行卡號、驗證碼等個人信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年9月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞369個，其中高危漏洞145個、中危漏洞205個、低危漏洞19個。漏洞平均分值為6.30。上周收錄的漏洞中，涉及0day漏洞306個（占83%），其中互聯網上出現“JFinalCMS目錄遍歷漏洞、WordPress Leyka plugin跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Siemens產品安全漏洞

Siemens QMS Automotive是德國西門子（Siemens）公司的一個汽車行業的質量管理系統。Siemens Tecnomatix Plant Simulation是工控設備，利用離散事件仿真進行生產量分析和優化，進而改善制造系統性能。Siemens Solid Edge是一款三維CAD軟件。該軟件可用于零件設計、裝配設計、鈑金設計、焊接設計等行業。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問數據庫，篡改應用程序代碼，上傳惡意文件，在當前進程的上下文中執行代碼等。

CNVD收錄的相關漏洞包括：Siemens QMS Automotive訪問控制錯誤漏洞、Siemens QMS Automotive代碼問題漏洞、Siemens QMS Automotive信息泄露漏洞（CNVD-2023-71222）、Siemens QMS Automotive數據偽造問題漏洞、Siemens Tecnomatix Plant Simulation緩沖區溢出漏洞、Siemens Solid Edge內存錯誤引用漏洞（CNVD-2023-71238）、Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-71239、CNVD-2023-71240）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個基于微內核的全場景分布式操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過授權并獲得訪問權限，發送特制的請求，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei HarmonyOS安全限制繞過漏洞（CNVD-2023-70288、CNVD-2023-70287、CNVD-2023-70286）、Huawei HarmonyOS權限提升漏洞（CNVD-2023-70290）、Huawei HarmonyOS拒絕服務漏洞（CNVD-2023-70294、CNVD-2023-70293、CNVD-2023-70292、CNVD-2023-70285）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Superset是一款由Python語言為主開發的開源時髦數據探索分析以及可視化的報表平臺，支持豐富的數據源，且擁有多姿多彩的可視化圖表選擇。Apache Axis是一個開源、基于XML的Web服務架構。該產品包含了Java和C++語言實現的SOAP服務器，以及各種公用服務及API，以生成和部署Web服務應用。Apache InLong是一站式的海量數據集成框架。提供自動化、安全、可靠的數據傳輸能力。Apache Airflow是一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache RocketMQ是一款輕量級的數據處理平臺和消息傳遞引擎。Apache Jena是一個Java語義網框架。用于構建語義Web和鏈接數據應用程序。Apache Shiro是一套用于執行認證、授權、加密和會話管理的Java安全框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過當前邏輯讀取任意文件，獲取敏感信息，通過連接傳遞參數實施遠程代碼執行攻擊，從而獲取服務器權限等。

CNVD收錄的相關漏洞包括：Apache Superset未授權訪問漏洞、Apache Axis輸入驗證錯誤漏洞、Apache InLong反序列化漏洞（CNVD-2023-70280）、Apache Airflow訪問控制錯誤漏洞（CNVD-2023-70279）、Apache Airflow輸入驗證錯誤漏洞（CNVD-2023-70278）、Apache RocketMQ代碼注入漏洞、Apache Jena代碼執行漏洞、Apache Shiro路徑遍歷漏洞。其中，除“Apache Superset未授權訪問漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升，獲取系統上的高級權限。

CNVD收錄的相關漏洞包括：Linux kernel權限提升漏洞（CNVD-2023-70080、CNVD-2023-70079、CNVD-2023-70083、CNVD-2023-70082、CNVD-2023-70081、CNVD-2023-70086、CNVD-2023-70085、CNVD-2023-70084）。目前，廠商已經發布了上述漏洞的修補程序。

ASUS RT-AX55命令注入漏洞

ASUS RT-AX55是中國華碩（ASUS）公司的一款雙頻Wi-Fi路由器。上周，ASUS RT-AX55被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Siemens產品被披露存在多個漏洞，攻擊者可利用漏洞訪問數據庫，篡改應用程序代碼，上傳惡意文件，在當前進程的上下文中執行代碼等。此外，Huawei、Apache、Linux等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過當前邏輯讀取任意文件，獲取敏感信息，發送特制的請求，導致拒絕服務，本地權限提升等。另外，ASUS RT-AX55被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報、和訊網、中國農業銀行、交通銀行、北京銀行微銀行、寧夏銀行、泉州銀行報道

責任編輯：韓希宇