國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞623個，互聯網上出現“Online Courseware editt.php文件跨站腳本漏洞、Online Book System Product.php文件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

警惕利用“百萬醫療”行騙 打假新型詐騙手段

“百萬醫療”騙局采用免費贈送一段時間保費，加以高額保險報銷為誘餌，在小程序中，將早已獲取的受騙人相關信息錄入，引誘受騙人搜索小程序查看，騙取受害人的信任，最后對受害人進行電信網絡詐騙。>>詳細

工行打造“融安e核”智能風控模型 筑牢反詐防火墻

“融安e核”智能風控模型可覆蓋工商銀行全量個人客戶與對公客戶，每日監控數以億計的線上線下各渠道交易，建立了“橫向到邊、縱向到底”的立體化監控網絡。>>詳細

警銀聯動！防賭反詐，我們時刻守護

正是由于西崗支行的高效處置與協助，不僅成功堵截了涉案資金，也為公安機關偵辦案件提供了有力支持。>>詳細

反詐識詐 安全支付 | 企業對公賬戶新騙術早知道

在此提醒廣大企業，要妥善保管企業銀行賬戶、網銀U盾及密碼等，未經核實切勿將相關資料移交或寄送企業以外的任何單位和個人，銀行工作人員不會以任何理由向企業索要銀行賬戶密碼、網銀U盾及密碼等。>>詳細

【反洗錢小科普】一圖讀懂數字人民幣！

數字人民幣遵循“小額匿名、大額依法可溯”的原則，高度重視個人信息與隱私保護，充分考慮現有電子支付體系下業務風險特征及信息處理邏輯，滿足公眾對小額匿名支付服務需求，小額交易可以保持一定程度的匿名性。>>詳細

小鷹說反詐 | “眼見”不一定為實 防范“AI換臉”

近期“AI換臉”新型詐騙頻發，和你視頻對話的可能并不是本人。AI換臉詐騙融合他人面孔和聲音制作虛假圖像和音視頻，仿冒他人身份實施誘騙受害者轉賬。>>詳細

防騙宣傳丨“百萬醫療保險”類詐騙案例及宣防要點

謹慎接聽陌生人員的蘋果手機FaceTime來電，如無使用需求請關閉FaceTime功能。日常生活中要牢記防騙“三不一多” 原則，即未知鏈接不點擊、陌生來電不輕信、個人信息不透露、轉賬匯款多核實。>>詳細

小鷹說反詐 | 警惕！個人退稅陷阱大揭秘！

遇到所謂的“人工退稅”來電時，不要相信所謂的“人工退稅”，更不可向任何人透露個人敏感信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年4月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞623個，其中高危漏洞240個、中危漏洞361個、低危漏洞22個。漏洞平均分值為6.18。上周收錄的漏洞中，涉及0day漏洞466個（占75%），其中互聯網上出現“Online Courseware editt.php文件跨站腳本漏洞、Online Book System Product.php文件SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows Hyper-V是美國微軟（Microsoft）公司的一款可提供硬件虛擬化的工具。Microsoft Defender for IoT是一種適用于IoT/OT環境的資產發現、漏洞管理和威脅監控解決方案。 Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。Microsoft Windows Update Stack是美國微軟（Microsoft）公司的用于管理更新的一部分。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致拒絕服務，在服務器上執行任意代碼，可以提升權限等。

CNVD收錄的相關漏洞包括：Microsoft Windows Hyper-V拒絕服務漏洞（CNVD-2024-19326）、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2024-19327）、Microsoft Defender for IoT遠程代碼執行漏洞（CNVD-2024-19328、CNVD-2024-19329）、Microsoft Defender for IoT權限提升漏洞（CNVD-2024-19330、CNVD-2024-19331）、Microsoft Excel遠程代碼執行漏洞（CNVD-2024-19332）、Microsoft Windows Update Stack特權提升漏洞。其中，除“Microsoft Windows Hyper-V拒絕服務漏洞（CNVD-2024-19326）、Microsoft Windows Update Stack特權提升漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Verify Privilege是美國國際商業機器（IBM）公司的一個解決方案，用于管理和保護用戶的身份和權限。 IBM SPSS Statistics是美國國際商業機器（IBM）公司的一個軟件包。用于交互式或批量統計分析。IBM WebSphere Application Server Liberty是美國國際商業機器（IBM）公司的一款構建于Open Liberty項目之上的Java應用程序服務器。IBM Security Verify Access（ISAM）是美國國際商業機器（IBM）公司的一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯合以及移動多因子認證實現對Web、移動、IoT 和云技術等平臺安全簡單的訪問。IBM Maximo Application Suite是一組用于資產監控、管理、預測性維護和可靠性規劃的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從SOAP API獲取敏感信息，獲取高度敏感的私有信息，使用特制的HTTP請求導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Security Verify Privilege信息泄露漏洞、IBM SPSS Statistics資源管理錯誤漏洞、IBM Security Verify Access Appliance和IBM Application Gateway信息泄露漏洞、IBM Security verify Access Appliance拒絕服務漏洞、IBM WebSphere Application Server Liberty加密問題漏洞、IBM WebSphere Application Server Liberty資源管理錯誤漏洞（CNVD-2024-20495）、IBM Security verify Access Appliance信任管理問題漏洞、IBM Maximo Application Suite目錄遍歷漏洞。其中，“IBM Security Verify Privilege信息泄露漏洞、IBM Security Verify Access Appliance和IBM Application Gateway信息泄露漏洞、IBM Security verify Access Appliance信任管理問題漏洞、IBM Maximo Application Suite目錄遍歷漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe After Effects是美國奧多比（Adobe）公司的一套視覺效果和動態圖形制作軟件。該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。Adobe Commerce是美國奧多比（Adobe）公司的一種面向商家和品牌的全球領先的數字商務解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過ASLR等措施，系統崩潰，從而導致拒絕服務，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Animate緩沖區溢出漏洞（CNVD-2024-19000、CNVD-2024-19001）、Adobe Bridge緩沖區溢出漏洞（CNVD-2024-18999）、Adobe Animate代碼問題漏洞（CNVD-2024-19003）、Adobe Animate輸入驗證錯誤漏洞（CNVD-2024-19002）、Adobe After Effects緩沖區溢出漏洞（CNVD-2024-19006）、Adobe Illustrator緩沖區溢出漏洞（CNVD-2024-19005）、Adobe Commerce輸入驗證錯誤漏洞（CNVD-2024-19008）。其中，“Adobe Animate緩沖區溢出漏洞（CNVD-2024-19000）、Adobe Animate輸入驗證錯誤漏洞（CNVD-2024-19002）、Adobe Illustrator緩沖區溢出漏洞（CNVD-2024-19005）、Adobe Commerce輸入驗證錯誤漏洞（CNVD-2024-19008）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞導致MySQL服務器掛起或頻繁重復崩潰。

CNVD收錄的相關漏洞包括：Oracle MySQL拒絕服務漏洞（CNVD-2024-19011、CNVD-2024-19010、CNVD-2024-19009、CNVD-2024-19014、CNVD-2024-19013、CNVD-2024-19012、CNVD-2024-19018、CNVD-2024-19017）。目前，廠商已經發布了上述漏洞的修補程序。

Tenda W18E緩沖區溢出漏洞

Tenda W18E是中國騰達（Tenda）公司的一款無線路由器。上周，Tenda W18E被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞導致拒絕服務，在服務器上執行任意代碼，可以提升權限。此外，IBM、Adobe、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞從SOAP API獲取敏感信息，獲取高度敏感的私有信息，使用特制的HTTP請求導致拒絕服務，在當前用戶的上下文中執行任意代碼等等。另外，Tenda W18E被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行江西省分行、中國工商銀行、興業銀行、邯鄲銀行、杭州銀行、微青銀、泉州銀行報道

責任編輯：韓希宇