國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞353個，互聯網上出現“Evolution CMS跨站腳本漏洞（CNVD-2023-85602）、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家金融監管總局葉燕斐：進一步細化制定行業數據安全管理專項辦法

銀行業保險業作為數據密集型行業，強化數據治理，加快推進數字化轉型發展，既是激活數據要素潛能、做強最優做大數字經濟的使命擔當，也是提升金融服務的智能化水平，增強防范化解風險的能力的內在動力。>>詳細

【以案說險】不明電話不要信 多方求證有必要

日常生活中，消費者不能輕信來歷不明的電話、短信、郵件及鏈接，不要輕易在網絡上留下個人金融信息。>>詳細

反詐專欄 | 預警勸阻莫忽視 財產安全要重視

請警惕他人使用您的實名手機卡、身份證件、銀行卡、對公賬戶，實施可能用于電信詐騙或網絡賭博等的犯罪行為。>>詳細

保護自身權益，拒絕買賣金融賬戶

妥善保管好自己的身份證、銀行卡、網銀Ukey，保護好登錄賬號和密碼等信息。>>詳細

反洗錢集中宣傳 | 以案說罪 什么是“自洗錢”

在2021年3月后，實施上游犯罪后又洗錢的，不僅要追究上游犯罪的刑事責任，還要追究洗錢犯罪的刑事責任。>>詳細

【風險提醒】“轉貸降息”套路深，稍不留神，就！掉！坑！

警惕陌生電話或短信以“轉貸降息”等名義推銷貸款業務的行為。>>詳細

防詐|防詐騙進行時，“違章”詐騙要當心

遇到涉及輸入重要個人信息、銀行卡信息的情況時，需要多留個心眼。>>詳細

【防詐騙】你是否接到過這樣的電話？

公檢法機關沒有所謂的“安全賬戶”，更不會讓公民轉賬匯款。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年11月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞353個，其中高危漏洞121個、中危漏洞209個、低危漏洞23個。漏洞平均分值為6.30。上周收錄的漏洞中，涉及0day漏洞299個（占85%），其中互聯網上出現“Evolution CMS跨站腳本漏洞（CNVD-2023-85602）、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-84088、CNVD-2023-84087、CNVD-2023-84086、CNVD-2023-84089、CNVD-2023-84092、CNVD-2023-84091、CNVD-2023-84095、CNVD-2023-84094）。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM WebSphere Application Server Liberty是美國國際商業機器（IBM）公司的一款構建于Open Liberty項目之上的Java應用程序服務器。IBM QRadar SIEM是一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。IBM Security Verify Privilege Manager是一個用于公司環境中用于端點特權管理和應用程序控制的安全管理軟件。該軟件通過從端點移除本地管理權限，阻止惡意軟件和勒索軟件的無意下載進而攻擊應用程序，利用IBM Security Privilege Manager，可立即輕松執行最小特權和應用程序控制。IBM Security Verify Governance是一個身份和訪問管理解決方案。它是一種用于管理和監控用戶身份、權限和訪問的軟件系統。IBM Sterling Partner Engagement Manager是一個自動化管理工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，通過發送特制請求在系統上執行任意命令等。

CNVD收錄的相關漏洞包括：IBM WebSphere Application Server Liberty資源管理錯誤漏洞、IBM QRadar SIEM信息泄露漏洞（CNVD-2023-83656）、IBM Security Verify Privilege Manager訪問控制錯誤漏洞、IBM Security Verify Privilege Manager任意文件上傳漏洞、IBM Security Verify Governance跨站腳本漏洞、IBM Security Verify Governance硬編碼漏洞（CNVD-2023-83661）、IBM Security Verify Governance命令執行漏洞、IBM Sterling Partner Engagement Manager身份驗證錯誤漏洞。其中，“IBM WebSphere Application Server Liberty資源管理錯誤漏洞、IBM Sterling Partner Engagement Manager身份驗證錯誤漏洞、IBM Security Verify Governance命令執行漏洞、IBM Security Verify Privilege Manager任意文件上傳漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Message Queuing是用于實現需要高性能的異步和同步場景的解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，導致系統拒絕服務。

CNVD收錄的相關漏洞包括：Microsoft Message Queuing拒絕服務漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）、Microsoft Message Queuing遠程代碼執行漏洞（CNVD-2023-84126、CNVD-2023-84127、CNVD-2023-84129、CNVD-2023-84128、CNVD-2023-84132）。其中，“Microsoft Message Queuing拒絕服務漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

HCL Technologies 產品安全漏洞

HCL Technologies Commerce是美國HCL Technologies公司的一款用于電子商務的軟件平臺框架。該軟件在可定制的集成軟件包中包括營銷，銷售，客戶和訂單處理功能。HCL Technologies AppScan Presence是一套動態分析測試工具，它主要用于Web安全測試。HCL Technologies BigFix Mobile是一款移動設備管理（Mobile Device Management，MDM）解決方案。它旨在幫助企業和組織有效地管理和保護移動設備，包括智能手機、平板電腦和其他移動設備。HCL Technologies Traveler Companion是一款ios Iphone和Ipad應用程序。用于在Apple設備上閱讀加密的Hcl Notes郵件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用特制的URL讀取系統上的任意文件，獲得提升的權限，上傳惡意腳本，在系統上執行任意PHP代碼等。

CNVD收錄的相關漏洞包括：HCL Technologies Commerce目錄遍歷漏洞、HCL Technologies AppScan Presence權限提升漏洞、HCL Technologies Compass訪問控制錯誤漏洞、HCL Technologies Compass弱密碼漏洞、HCL Technologies Compass文件上傳漏洞、HCL Technologies BigFix Mobile跨站腳本漏洞、HCL Technologies BigFix Mobile命令注入漏洞、HCL Technologies Traveler Companion信息泄露漏洞。其中，“HCL Technologies Compass訪問控制錯誤漏洞、HCL Technologies Compass弱密碼漏洞、HCL Technologies Compass文件上傳漏洞、HCL Technologies BigFix Mobile命令注入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Zoo Management System跨站腳本漏洞（CNVD-2023-85427）

Zoo Management System是一個動物園管理系統。為動物園企業提供了一個在線和自動化平臺來管理他們的日常記錄。上周，Zoo Management System被披露存在跨站腳本漏洞。攻擊者可利用該漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升。此外，IBM、Microsoft、HCL Technologies等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用特制的URL讀取系統上的任意文件，獲得提升的權限，通過發送特制請求在系統上執行任意命令等。另外，Zoo Management System被披露存在跨站腳本漏洞。攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、恒豐銀行總行、華潤銀行、河北銀行、鄞州銀行、廣州農村商業銀行、廣東農信、四川農信報道

責任編輯：韓希宇