國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞498個，互聯網上出現“BoidCMS跨站腳本漏洞、JFinalCMS跨站腳本漏洞（CNVD-2023-9773206）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工商銀行開展“反詐我在行”工行驛站志愿服務活動

工商銀行攜手微信支付開展“反詐我在行”工行驛站志愿服務活動，向群眾普及金融反詐防詐與安全支付知識，增強金融消費者風險防范能力。>>詳細

【防詐秘籍】第三期：警惕6種冒充公檢法騙局！

大家要保管好自己的銀行卡及密碼，不要輕易向他人透露銀行卡信息。對來歷不明的短信或電話需提高警惕，切勿輕易向他人透露銀行卡、密碼等信息，如果收到可疑短信，持卡人可親自到銀行柜臺咨詢，也可致電發卡行的客服熱線。>>詳細

【消?！啃率忻癫亮裂郏喝肼毨U納保證金？當心招工詐騙！

要選擇正規渠道：通過正規渠道獲取招聘信息，避開小型未知網站，謹防未經核實的“內部消息”。>>詳細

反詐專欄 | 謹慎“機票退改簽”騙局

當接到航班取消，需要退票或改簽的電話、短信時，不要輕易相信，一定要通過官方電話或者APP進行核實。>>詳細

在“浙”里看見全民反詐，浙商銀行在行動

“反詐集市”上，浙商銀行設置了“反詐秘籍”“反詐錦囊”“反詐行動”等妙趣橫生的互動環節，以通關打卡形式帶領現場群眾參與趣味游戲、互動答題，以寓教于樂的形式開展反詐宣傳教育。>>詳細

【警惕】養老詐騙“套路”多！小心中招！

為切實維護老年人合法權益，守護老年消費安全，促進老年消費公平，現發布老年人消費警示，提醒廣大老年人，警惕以下載不明軟件、“投資理財”等為名目的詐騙行為，守好自身的養老錢。>>詳細

杭銀消保講堂| “新防詐十個凡是”之二 凡是說百萬醫療、保險保障到期，要扣月費，問你要不要關閉服務的，一定是詐騙

近期，利用Facetime電話進行電信網絡詐騙案件明顯抬頭，這不，私人銀行客戶C女士就遇上了，所幸被杭州銀行的預警系統阻斷，同時閘口支行高效協助攔截，成功使客戶避免了大額資金損失。>>詳細

安全|磁條卡換芯片卡，有“芯”更安全！

芯片如微型電腦可記錄卡號、密鑰、證書等信息，有讀寫保護機制，對數據加密。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年12月11日-17日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞498個，其中高危漏洞234個、中危漏洞239個、低危漏洞25個。漏洞平均分值為6.69。上周收錄的漏洞中，涉及0day漏洞392個（占79%），其中互聯網上出現“BoidCMS跨站腳本漏洞、JFinalCMS跨站腳本漏洞（CNVD-2023-9773206）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

DELL產品安全漏洞

Dell DM5500是美國戴爾（Dell）公司的一款集成解決方案。提供業界領先的重復數據刪除、數據保護解決方案和多云功能。Dell PowerScale OneFS是一個操作系統。提供橫向擴展NAS的PowerScale OneFS操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞覆蓋服務器文件系統上存儲的文件，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Dell DM5500權限提升漏洞、Dell DM5500身份驗證錯誤漏洞、Dell DM5500操作系統命令注入漏洞、Dell DM5500路徑遍歷漏洞、Dell DM5500跨站腳本漏洞、Dell DM5500緩沖區溢出漏洞、Dell PowerScale OneFS拒絕服務漏洞（CNVD-2023-9671099）、Dell DM5500信息泄露漏洞。其中，除“Dell DM5500跨站腳本漏洞、Dell DM5500信息泄露漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Cocoon是美國阿帕奇（Apache）基金會的一個基于組件的Web開發的概念構建的Web應用程序框架。Apache Superset是一個數據可視化和數據探索平臺。Apache Submarine是云原生機器學習平臺。Apache UIMA是一個組件化的軟件架構。用于分析同終端用戶相關聯的大容量非結構化信息。Apache Struts是一個開源項目，是一套用于創建企業級Java Web應用的開源MVC框架，主要提供兩個版本框架產品，Struts 1和Struts 2。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過發送特制的XML文件讀取文件，竊取數據庫敏感數據，導致代碼執行等。

CNVD收錄的相關漏洞包括：Apache Cocoon XML外部實體注入漏洞、Apache Cocoon SQL注入漏洞、Apache Superset跨站腳本漏洞（CNVD-2023-9665948）、Apache Superset輸入驗證錯誤漏洞（CNVD-2023-9666130）、Apache Superset授權問題漏洞（CNVD-2023-9666047）、Apache Submarine反序列化漏洞、Apache UIMA反序列化漏洞、Apache Struts目錄遍歷漏洞。其中，除“Apache Superset跨站腳本漏洞（CNVD-2023-9665948）、Apache Superset輸入驗證錯誤漏洞（CNVD-2023-9666130）、Apache Superset授權問題漏洞（CNVD-2023-9666047）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，導致權限提升。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-96682、CNVD-2023-96681、CNVD-2023-96680、CNVD-2023-96685、CNVD-2023-96684、CNVD-2023-96683、CNVD-2023-96689）、Google Android代碼執行漏洞（CNVD-2023-96686）。其中，“Google Android代碼執行漏洞（CNVD-2023-96686）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224都是工業路由器。SINEC INS（基礎設施網絡服務）是一個基于web的應用程序，將各種網絡服務結合在一個工具中。這簡化了與工業網絡相關的所有網絡服務的安裝和管理。SIMATIC PC Station是一個軟件組件，用于管理PC上的SIMATIC軟件產品和接口。SIMATIC S7-400控制器專為工業環境中的離散和連續控制而設計，如世界各地的制造業、食品和飲料以及化工行業。SIMATIC CP 1242和CP 1243相關處理器將SIMATIC S7-1200控制器連接到廣域網（WAN）。它們提供集成的安全功能，如防火墻、虛擬專用網絡（VPN）以及對其他數據加密協議的支持。SIMATIC CP 1543-1通信處理器將SIMATIC S7-1500控制器連接到以太網。它們提供集成的安全功能，如防火墻、虛擬專用網絡（VPN）以及對其他數據加密協議的支持。SINUMERIK MC是一個用于定制機器解決方案的CNC系統。SINUMERIK ONE是一個數字原生數控系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞截獲發送到UMC服務器的憑據，并操縱響應，從而升級權限，在系統上執行命令，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens SINEC INS操作系統命令注入漏洞、Siemens SCALANCE M-800/S615系列操作系統命令注入漏洞（CNVD-2023-97257、CNVD-2023-97258）、Siemens SINEC INS證書驗證不當漏洞、Siemens多款產品Web服務器拒絕服務漏洞（CNVD-2023-97269、CNVD-2023-97270）、Siemens工業產品Web服務器拒絕服務漏洞、Siemens SINUMERIK ONE和SINUMERIK-MC拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AX3命令執行漏洞

Tenda Ax3是中國騰達（Tenda）公司的一款Ax1800千兆端口雙頻Wifi 6無線路由器。上周，Tenda AX3被披露存在命令執行漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，DELL產品被披露存在多個漏洞，攻擊者可利用漏洞覆蓋服務器文件系統上存儲的文件，執行任意代碼，導致拒絕服務等。此外，Apache、Google、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過發送特制的XML文件讀取文件，在系統上執行任意代碼，導致權限提升，拒絕服務等。另外，Tenda AX3被披露存在命令執行漏洞。攻擊者可利用漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國工商銀行、中國郵政儲蓄銀行、中信銀行、浙商銀行微訊、恒豐銀行總行、河北銀行、杭州銀行消保之聲、廣東農信報道

責任編輯：韓希宇