國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞367個，互聯網上出現“CSZ CMS跨站腳本漏洞（CNVD-2024-12211）、FlyCms跨站請求偽造漏洞（CNVD-2024-12210）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行：增強金融網絡安全和數據安全保障能力

中國人民銀行將持續做好金融科技工作，加快構建中國特色現代金融體系，以現代科技手段助力金融強國建設、支持高質量發展。>>詳細

315在行動丨電詐手段新花樣，AI詐騙知多少？

要多多提醒、告誡身邊的親人、朋友提高安全意識和應對高科技詐騙的能力，共同預防受騙。特別是提醒老年人在接到莫名電話、短信時，要及時與家人二次確認，不要貿然轉賬。>>詳細

消保課堂 | 保障信息安全 一起來學消?！鞍硕五\”

金融消費者在購買金融產品或接受金融服務時，享有其個人金融信息安全保障、不被泄露的權利。金融機構應當嚴格防控金融消費者信息泄露風險，保障金融消費者信息安全。>>詳細

中國郵政儲蓄銀行開展2024年“3·15”金融消費者權益保護教育宣傳活動

3月11日至3月17日，中國郵政儲蓄銀行在全行開展2024年“3·15”金融消費者權益保護教育宣傳活動。>>詳細

【警惕】“練好”火眼金睛， “三打”Cosplay

我們一起做“金融明白人”，一定擦亮眼睛，守護好錢袋子，不給不法分子任何機會。>>詳細

3·15靠“浦”說 | 青少年反詐小TIPS

電信詐騙手段層出不窮，不法分子開始將矛頭指向安全意識薄弱的青少年，增強網絡安全意識和自我保護能力是廣大青少年必不可少的。>>詳細

3·15靠“浦”說 | 防范電信網絡詐騙小課堂

不要相信任何索要銀行卡密碼和手機驗證碼的行為，不向銀行業務流程外的任何渠道提供銀行卡密碼和手機驗證碼。>>詳細

廣發銀行大數據智能風控，用心守護客戶資金安全｜2024年“3.15”金融消保教育宣傳活動

近年來，廣發銀行持續建設大數據智能風控平臺底層能力，布署迭代交易風控模型和策略，對重點交易場景探索設計系列管控策略規則。>>詳細

“3·15”金融消費者權益保護教育宣傳活動|反電詐，教您識破騙子的花招

銀行、支付寶等發來的“短信驗證碼”是身份驗證信息，所以不要隨意通過電話、短信、軟件等方式向任何人和機構透露該信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年3月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞367個，其中高危漏洞125個、中危漏洞230個、低危漏洞12個。漏洞平均分值為6.14。上周收錄的漏洞中，涉及0day漏洞314個（占86%），其中互聯網上出現“CSZ CMS跨站腳本漏洞（CNVD-2024-12211）、FlyCms跨站請求偽造漏洞（CNVD-2024-12210）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Framemaker是美國奧多比（Adobe）公司的一套用于編寫和編輯大型或復雜文檔（包括結構化文檔）的頁面排版軟件。Adobe Audition是一套多音軌編輯工具。該產品主要使用包含多音軌、波形和光譜顯示的完善工具集對音頻內容進行混音、編輯和創建等。Adobe Substance 3D Painter是一個3D紋理處理應用程序。Adobe Acrobat Reader是一款PDF查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Designer越界讀取漏洞（CNVD-2024-11672）、Adobe Substance 3D Painter緩沖區溢出漏洞（CNVD-2024-11673）、Adobe Acrobat and Reader越界讀取漏洞（CNVD-2024-11665、CNVD-2024-11664、CNVD-2024-11663、CNVD-2024-11667）、Adobe FrameMaker Publishing Server身份驗證錯誤漏洞、Adobe Audition堆緩沖區溢出漏洞（CNVD-2024-11670）。其中，“Adobe Substance 3D Designer越界讀取漏洞（CNVD-2024-11672）、Adobe FrameMaker Publishing Server身份驗證錯誤漏洞、Adobe Audition堆緩沖區溢出漏洞（CNVD-2024-11670）、Adobe Substance 3D Painter緩沖區溢出漏洞（CNVD-2024-11673）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell ESI for SAP LAMA是美國戴爾（Dell）公司的將SAP LaMa與戴爾產品集成的軟件解決方案。Dell OS10 Networking Switches是一款交換機。Dell Unity是一套虛擬Unity存儲環境。Dell SupportAssist for Home PCs是一款適用于家庭電腦的客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell SupportAssist for Business PCs是一款適用于企業電腦的客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell Secure Connect Gateway Application是一種安全連接網關。Dell RecoverPoint for Virtual Machines是一套面向VMware環境的災難恢復解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意命令，導致本地權限升級，信息泄露和拒絕服務等。

CNVD收錄的相關漏洞包括：Dell Unity跨站腳本漏洞、Dell ESI for SAP LAMA信息泄露漏洞、Dell OS10 Networking Switches信息泄露漏洞、Dell OS10 Networking Switches命令執行漏洞、Dell Unity跨站腳本漏洞、Dell SupportAssist for Home PCs權限提升漏洞、Dell SupportAssist for Business PCs本地身份驗證繞過漏洞、Dell Secure Connect Gateway Application SQL注入漏洞、Dell RecoverPoint for Virtual Machines暴力破解漏洞。其中，“Dell ESI for SAP LAMA信息泄露漏洞、Dell OS10 Networking Switches信息泄露漏洞、Dell OS10 Networking Switches命令執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Guardium是美國國際商業機器（IBM）公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Security Verify Access是美國國際商業機器（IBM）公司的一款提高用戶訪問安全的服務。IBM Operational Decision Manager是一種決策管理解決方案，用于幫助組織更好地管理和執行業務規則和決策。IBM Maximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。IBM i是一套運行在IBM Power Systems和IBM PureSystems中的操作系統。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。IBM CICS TX Standard and Advanced是一個綜合的、單一的事務運行時包?？梢詾楠毩贸绦蛱峁┰圃渴鹉Ｐ?。IBM Storage Ceph是的IBM支持的開源軟件定義存儲平臺，可在單個系統中提供可擴展的對象、塊和文件存儲。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞解密高度敏感的信息，通過發送特制請求來在系統上執行任意命令，上傳任意文件，造成瀏覽器崩潰等。

CNVD收錄的相關漏洞包括：IBM Security Guardium操作系統命令注入漏洞（CNVD-2024-11735）、IBM Security Verify Access信任管理問題漏洞、IBM Operational Decision Manager代碼問題漏洞、IBM Maximo Asset Management訪問控制錯誤漏洞、IBM i Access Client Solutions授權問題漏洞、IBM Sterling B2B Integrator資源管理錯誤漏洞、IBM CICS TX Standard加密問題漏洞、IBM Storage Ceph輸入驗證錯誤漏洞。其中，“IBM Security Guardium操作系統命令注入漏洞（CNVD-2024-11735）、IBM Security Verify Access信任管理問題漏洞、IBM Operational Decision Manager代碼問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft SharePoint Server是美國微軟（Microsoft）公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Hyper-V是一個應用程序。一種系統管理程序虛擬化技術，能夠實現桌面虛擬化。Microsoft Visual Studio是一款開發工具套件系列產品，也是一個基本完整的開發工具集，它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Win32k是一個用于Windows多用戶管理的系統文件。Microsoft Windows Cloud Files Mini Filter Driver是一款云文件過濾器驅動程序。Microsoft Common Log File System是通用日志文件系統（CLFS） API提供了一個日志文件子系統，專用客戶端應用程序可以使用該子系統并且多個客戶端可以共享以優化日志訪問。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，獲取SYSTEM權限，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2024-11162）、Microsoft Hyper-V遠程代碼執行漏洞（CNVD-2024-11160）、Microsoft Hyper-V拒絕服務漏洞（CNVD-2024-11161）、Microsoft Visual Studio權限提升漏洞（CNVD-2024-11163）、Microsoft Win32K權限提升漏洞（CNVD-2024-11164、CNVD-2024-11165）、Microsoft Windows Cloud Files Mini Filter Driver權限提升漏洞、Microsoft Common Log File System權限提升漏洞。其中，“Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2024-11162）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link GO-RT-AC750跨站腳本漏洞

D-Link GO-RT-AC750是中國友訊（D-Link）公司的一款無線雙頻簡易路由器。上周，D-Link GO-RT-AC750被披露存在跨站腳本漏洞。攻擊者可利用該漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，導致應用程序崩潰等。此外，Dell、IBM、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞解密高度敏感的信息，在系統上執行任意命令，導致本地權限升級，導致拒絕服務等。另外，D-Link GO-RT-AC750被披露存在跨站腳本漏洞。攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、中國銀聯、交通銀行、郵儲銀行+、中國光大銀行、遇見浦發、廣發銀行、浙商銀行微訊報道

責任編輯：韓希宇