國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞438個，互聯網上出現“XunRuiCMS跨站腳本漏洞（CNVD-2024-12713）、CMS Made Simple跨站腳本漏洞（CNVD-2024-13561）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國互聯網金融協會召開“金融數據要素合規應用與安全管理”工作座談會

金融業是數據密集型和科技驅動型行業，做好金融數據要素合規應用與安全管理工作，有助于深化金融數字化轉型，賦能數字金融守正創新。>>詳細

【反詐】防范電信網絡詐騙，保護金融消費者權益

四個凡是要記牢，電信網絡詐騙詭計多端，不輕信、不透露、不轉賬，守住自己的“錢袋子”。>>詳細

消保小課堂丨同學們，這些金融知識要知道

非法校園貸是通過零利息、超便捷、零風險等虛假宣傳，誘騙在校學生借款，最終跌入“套路貸”“高利貸” 陷阱。>>詳細

因守護而精彩 | 又一市民差點中招！廣發銀行的電話一定要接

詐騙手段層出不窮，但目的都指向一處：套取消費者個人金融信息并竊取錢財。廣發銀行提醒您，越是關鍵時刻，越要擦亮眼睛，不聽、不信、不轉賬，及時接聽銀行官方客服電話，牢牢守住“錢袋子”！>>詳細

以案說險 | 警惕信用卡“積分兌換”騙局

隨著網絡技術的發展，一些不法分子通過“積分兌換”為誘餌，盜取持卡人交易身份信息后實施盜刷，不僅侵害消費者的信息安全權和財產安全權，也給信用卡支付市場的安全穩定發展帶來了負面影響。>>詳細

長沙銀行員工助力網絡詐騙案資金追回

近日，長沙銀行收到了一封來自漢川市公安局韓集水陸派出所的感謝信，對長沙銀行及員工李婷在協助辦理李某某網絡詐騙案中展現的專業素養和責任擔當表示衷心感謝。>>詳細

【反詐】“FaceTime”陌生來電不要接！小心，這可能是詐騙！

近期，詐騙分子假冒電商、銀行客服人員，頻繁向蘋果手機用戶發起FaceTime視頻通話，以關閉“百萬保障、保險”“辦理貸款”等為由，引誘受害人轉賬匯款，或引導受害人泄露個人卡號、密碼、驗證碼等信息，造成資金損失。>>詳細

警銀合力 攔截一起網絡投資詐騙

千萬不要相信“零風險，高回報”的說辭，對所謂的超高收益投資要小心，請勿貪圖便宜，以免上當受騙。大家應選擇正規投資理財途徑，避免落入網絡投資理財詐騙陷阱。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年3月11日-17日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞438個，其中高危漏洞166個、中危漏洞254個、低危漏洞18個。漏洞平均分值為6.30。上周收錄的漏洞中，涉及0day漏洞356個（占81%），其中互聯網上出現“XunRuiCMS跨站腳本漏洞（CNVD-2024-12713）、CMS Made Simple跨站腳本漏洞（CNVD-2024-13561）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM CICS TX Advanced是美國國際商業機器（IBM）公司的一個事務處理監控系統，用于在企業環境中運行大規模、高事務量的應用程序。IBM Security Verify Privilege是美國國際商業機器（IBM）公司的一個解決方案，用于管理和保護用戶的身份和權限。IBM Security Guardium是美國國際商業機器（IBM）公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Sterling Connect:Express for UNIX是美國國際商業機器（IBM）公司的一套適用于UNIX平臺的文件傳輸解決方案。IBM InfoSphere Information Server是美國國際商業機器（IBM）公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。IBM Cognos Analytics是美國國際商業機器（IBM）公司的一套商業智能軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，注入精心設計的有效載荷執行任意Web腳本或HTML，通過瀏覽器UI造成拒絕服務等。

CNVD收錄的相關漏洞包括：IBM CICS TX Advanced跨站腳本漏洞（CNVD-2024-12700）、IBM Security Verify Privilege On-Premises信息泄露漏洞、IBM CICS TX Advanced信息泄露漏洞、IBM Security Guardium XML外部實體注入漏洞（CNVD-2024-12704）、IBM Sterling Connect:Express for UNIX緩沖區溢出漏洞、IBM InfoSphere Information Server跨站腳本漏洞（CNVD-2024-12706）、IBM Cognos Analytics訪問控制錯誤漏洞（CNVD-2024-12708）、IBM Cognos Analytics Web UI跨站腳本漏洞（CNVD-2024-13549）。其中，“IBM Sterling Connect:Express for UNIX緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Substance 3D Painter是美國奧多比（Adobe）公司的一個3D紋理處理應用程序。Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。Adobe Acrobat Reader DC是一款免費的PDF閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在受害者瀏覽器中執行惡意JavaScript內容，執行非授權指令，可以取得系統特權，進而進行各種非法操作，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2024-12461）、Adobe Substance 3D Painter緩沖區溢出漏洞（CNVD-2024-12465、CNVD-2024-12464、CNVD-2024-12463）、Adobe InDesign緩沖區溢出漏洞（CNVD-2024-12469）、Adobe Illustrator資源管理錯誤漏洞（CNVD-2024-12467）、Adobe Acrobat Reader DC緩沖區溢出漏洞（CNVD-2024-12466）。其中，除“Adobe Experience Manager跨站腳本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2024-12461）、Adobe InDesign緩沖區溢出漏洞（CNVD-2024-12469）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致瀏覽器崩潰，無意中授予不打算授予的權限，使用未知的攻擊向量在易受攻擊的系統上執行任意代碼或導致拒絕服務等。

CNVD收錄的相關漏洞包括：Mozilla Firefox拒絕服務漏洞（CNVD-2024-12547）、Mozilla Firefox代碼執行漏洞（CNVD-2024-12546、CNVD-2024-12550）、Mozilla Firefox安全繞過漏洞（CNVD-2024-12549、CNVD-2024-12548）、Mozilla Firefox HTTP頭注入漏洞、Mozilla Firefox越界讀取漏洞（CNVD-2024-12552）、Mozilla Firefox for iOS跨站腳本漏洞。其中，除“Mozilla Firefox for iOS跨站腳本漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiOS是一套專用于FortiGate網絡安全平臺上的安全操作系統。Fortinet FortiProxy是一種安全的網絡代理，通過結合多種檢測技術，如Web過濾、DNS過濾、DLP、反病毒、入侵防御和高級威脅保護，可以保護員工免受網絡攻擊。Fortinet FortiPAM是美國飛塔（Fortinet）公司的一款權限訪問控制的平臺。Fortinet FortiNAC是美國飛塔（Fortinet）公司的一套網絡訪問控制解決方案。該產品主要用于網絡訪問控制和物聯網安全防護。Fortinet FortiSIEM是美國飛塔（Fortinet）公司的一套安全信息和事件管理系統。該系統包括資產發現、工作流程自動化和統一管理等功能。Fortinet FortiClientEMS是美國飛塔（Fortinet）公司的Fortinet提供的端點管理解決方案的一部分，旨在幫助組織有效地管理其網絡中的終端設備，并提供端點安全性的監控和控制。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞竊取受害者基于cookie的身份驗證憑據，在系統上執行任意代碼或命令等。

CNVD收錄的相關漏洞包括：多款Fortinet產品格式化字符串錯誤漏洞、Fortinet FortiOS和FortiProxy空指針解引用漏洞（CNVD-2024-13019、CNVD-2024-13092）、Fortinet FortiNAC跨站腳本漏洞（CNVD-2024-13094）、Fortinet FortiOS和FortiProxy越界寫入漏洞、Fortinet FortiSIEM操作系統命令注入漏洞（CNVD-2024-13099、CNVD-2024-13100）、Fortinet FortiClientEMS CSV注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

PHPEMS反序列化漏洞（CNVD-2024-13536）

PHPEMS是一個PHP在線模擬考試系統。上周，PHPEMS被披露存在反序列化漏洞。攻擊者可利用該漏洞通過參數picurl導致反序列化。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，注入精心設計的有效載荷執行任意Web腳本或HTML，通過瀏覽器UI造成拒絕服務等。此外，Adobe、Mozilla、Fortinet等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在受害者瀏覽器中執行惡意JavaScript內容，執行非授權指令，可以取得系統特權，進而進行各種非法操作，在當前用戶的上下文中執行任意代碼等。另外，PHPEMS被披露存在反序列化漏洞。攻擊者可利用漏洞通過參數picurl導致反序列化。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國互聯網金融協會、郵儲銀行+、中國光大銀行、廣發銀行微訊社、微青銀、快樂長行人、昆侖銀行、鄞州銀行報道

責任編輯：韓希宇