國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞407個，互聯網上出現“WordPress插件Frontend File Manager安全繞過漏洞、WordPress插件Coming Soon Page & Maintenance Mode跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國人民銀行征信中心：提供征信修復并借此斂財均為詐騙

任何提供所謂“征信修復”并借此斂財的均為詐騙行為。社會公眾不僅無法借此刪除不良信用記錄，還存在信息泄露、上當受騙、錢財損失的風險。>>詳細

【防騙】投資理財選擇正規渠道，謹防欺詐套路

選擇正規投資渠道，不要輕信網絡平臺發布的夸大投資信息，以及所謂的“炒股牛人/專家薦股/內幕信息”等。>>詳細

開卡需謹慎！小心一不留神陷入電信詐騙

對消費者而言，要重視和保護個人信息安全，辦卡時的基本信息、常用聯系方式、密碼等重要信息不能告訴他人，并且要嚴防轉借或轉賣借記卡，避免自己陷入犯罪份子的違法陷阱。>>詳細

小智快報，揭秘詐騙新套路！

未成年對金錢缺乏概念，很容易落入犯罪分子的詐騙圈套，廣大家長應加強對未成年的防騙教育，同時保管好個人手機付款碼、支付密碼等重要信息。>>詳細

貼心客服來電？小心是詐騙！

凡自稱某金融客服以影響征信、需注銷賬戶、調整利率為由，讓您下載軟件、共享屏幕填寫信息的，均為詐騙！>>詳細

【以案說險】擦亮雙眼，警惕銀行卡刷“流水”騙局

如果您需要辦理貸款，請向正規金融機構進行咨詢，不要相信各種“野廣告”、、“小廣告”上承諾幫忙貸款的信息，更不要使用自己的銀行卡幫助他人“刷流水”，否則一不小心就會成為不法分子的“幫兇”。>>詳細

【消保黔行】辨別金融營銷宣傳主體資質，有效“避雷”不踩坑

金融營銷宣傳行為是指金融產品或金融服務經營者利用各種宣傳工具或方式，就金融產品或金融服務進行宣傳、推廣的行為。>>詳細

【必看】年末防詐小貼士

盡管詐騙花樣層出不窮，只要我們提高警惕，就不會輕易給騙子們可乘之機。>>詳細

刷流水辦貸款？小心刷成電詐幫兇！

保護好個人和對公賬戶，不要將銀行卡、網銀盾、支付密碼等提供給他人，防止被不法分子利用。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年12月25日-31日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞407個，其中高危漏洞132個、中危漏洞251個、低危漏洞24個。漏洞平均分值為6.06。上周收錄的漏洞中，涉及0day漏洞245個（占60%），其中互聯網上出現“WordPress插件Frontend File Manager安全繞過漏洞、WordPress插件Coming Soon Page & Maintenance Mode跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致權限提升。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2023-101640、CNVD-2023-101642、CNVD-2023-101645、CNVD-2023-101648、CNVD-2023-101649、CNVD-2023-101650、CNVD-2023-101651）、Google Android權限提升漏洞（CNVD-2023-100964）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe ColdFusion是美國奧多比（Adobe）公司的一套快速應用程序開發平臺。該平臺包括集成開發環境和腳本語言。Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe Media Encoder是美國奧多比（Adobe）公司的一款音、視頻編碼應用程序。Adobe Dimension是美國奧多比（Adobe）公司的是一套2D和3D合成設計工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，獲取敏感信息，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe ColdFusion路徑遍歷漏洞（CNVD-2023-100303）、Adobe Experience Manager跨站腳本漏洞（CNVD-2023-100304）、Adobe Media Encoder越界讀取漏洞（CNVD-2023-100306）、Adobe Media Encoder堆緩沖區溢出漏洞、Adobe Dimension越界讀取漏洞（CNVD-2023-100308）、Adobe ColdFusion訪問控制錯誤漏洞、Adobe ColdFusion代碼執行漏洞（CNVD-2023-100310）、Adobe ColdFusion跨站腳本漏洞（CNVD-2023-100311）。其中，“Adobe Media Encoder越界讀取漏洞（CNVD-2023-100306）、Adobe Media Encoder堆緩沖區溢出漏洞、Adobe ColdFusion訪問控制錯誤漏洞、Adobe ColdFusion代碼執行漏洞（CNVD-2023-100310）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM DB2是美國國際商業機器（IBM）公司的一套關系型數據庫管理系統。該系統的執行環境主要有UNIX、Linux、IBMi、z/OS以及Windows服務器版本。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞導致拒絕服務。

CNVD收錄的相關漏洞包括：IBM DB2拒絕服務漏洞（CNVD-2023-100313、CNVD-2023-100314、CNVD-2023-100315、CNVD-2023-100316、CNVD-2023-100317、CNVD-2023-100318、CNVD-2023-100319、CNVD-2023-100320）。其中，“IBM DB2拒絕服務漏洞（CNVD-2023-100317）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Dynamics 365是美國微軟（Microsoft）公司的一套適用于跨國企業的ERP業務解決方案。該產品包括財務管理、生產管理和商業智能管理等。Microsoft Visual Studio是美國微軟（Microsoft）公司的一款開發工具套件系列產品，也是一個基本完整的開發工具集，它包括了整個軟件生命周期中所需要的大部分工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞竊取受害者基于cookie的身份驗證憑據，獲取敏感信息，進行欺騙攻擊，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Dynamics 365(on-premises)跨站腳本漏洞（CNVD-2023-101676）、Microsoft Visual Studio信息泄露漏洞（CNVD-2023-101682）、Microsoft Visual Studio權限提升漏洞（CNVD-2023-101683、CNVD-2023-101685、CNVD-2023-101686）、Microsoft Visual Studio拒絕服務漏洞、Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2023-101687）、Microsoft Dynamics 365 Sales欺騙漏洞。其中，“Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2023-101687）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Geeklog跨站腳本漏洞

Geeklog是一種開源軟件，可用作Weblog，CMS或Web Portal。上周，Geeklog被披露存在跨站腳本漏洞。該漏洞源于應用對用戶提供的數據缺乏有效過濾與轉義，攻擊者可利用該漏洞通過精心設計的有效負載注入郵件設置（backend、host、port、auth）來執行任意Web腳本或HTML。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致權限提升。此外，Adobe、IBM、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，竊取受害者基于cookie的身份驗證憑據，獲取敏感信息，進行欺騙攻擊，在系統上執行任意代碼，導致拒絕服務等。另外，Geeklog被披露存在跨站腳本漏洞。攻擊者可利用該漏洞通過精心設計的有效負載注入郵件設置（backend、host、port、auth）來執行任意Web腳本或HTML。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國工商銀行客戶服務、交通銀行微銀行、光大遠程微訊、廣發銀行、貴州銀行、昆侖銀行、常熟農商銀行報道

責任編輯：韓希宇