國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞547個，互聯網上出現“TOTOLINK NR1800X setOpModeCfg緩沖區溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

關于警惕不法貸款中介誘導消費者違規轉貸的風險提示

中國銀保監會消費者權益保護局發布2022年第8期風險提示，提醒廣大消費者，警惕不法中介誘導，認清違規轉貸背后隱藏的風險，防范合法權益受到侵害。>>詳細

【防騙】這三種套路都是網貸騙局，別信！

一些詐騙分子利用公眾資金周轉的需求，頻繁實施虛假網絡貸款類欺詐，不多留個心眼，很可能就成為他們的“待宰羔羊”。請了解以下常見虛假網絡貸款騙局，謹防詐騙。>>詳細

防騙秘籍 | 賬戶年檢詐騙的老招數又雙叒叕來了

請經營者通過微信或支付寶“電子營業執照”小程序下載和使用電子營業執照，切勿輕信不明來源的信息。>>詳細

【服務】CVV2碼和小額免密支付，打開便捷支付的新世界

CVV2碼是指信用卡背面簽名欄的后三位數字，是激活信用卡、非直接刷卡消費（如網絡支付等）時校驗使用的驗證要素。>>詳細

【金融知識小貼士】企業網上銀行、手機銀行交易安全提示！

客戶需妥善保管通過本行申請的數字證書、U-KEY（e路寶）、手機短信驗證碼、電子銀行登錄密碼、支付密碼以及自行設置單位內不同操作員、賬戶和不同業務的操作權限。>>詳細

比刷臉更安全？看數字證書如何守護網絡支付

在我國，CA的合法性由工信部頒發的《電子認證服務許可證》和國家密碼管理局頒發的《電子認證服務使用密碼許可證》這兩項資質確立。>>詳細

【消保小劇場】最后一單掙大錢

不要被高額報酬所迷惑，更不能抱僥幸心理相信騙子的退款承諾，以免遭遇連環騙局。>>詳細

【以案說險】年底騙子沖業績，快來get“騙方”

又到年終歲尾時，詐騙團伙們要出來“沖業績”啦！心寶兒提醒您一定要提高警惕，切莫將自己辛辛苦苦掙來的錢給騙子發了“年終獎”。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年12月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞547個，其中高危漏洞261個、中危漏洞253個、低危漏洞33個。漏洞平均分值為6.52。上周收錄的漏洞中，涉及0day漏洞259個（占47%），其中互聯網上出現“TOTOLINK NR1800X setOpModeCfg緩沖區溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Siemens產品安全漏洞

Siemens Parasolid是德國西門子（Siemens）公司的一個幾何建模內核。SIMATIC Drive Controllers用于生產機器的自動化，結合了SIMATIC S7-1500 CPU和SINAMICS S120驅動控制的功能。SIMATIC ET 200SP Open Controller是SIMATIC S7-1500控制器的基于PC的版本。SIMATIC S7-1200 CPU產品專為工業環境中的離散和連續控制而設計，如全球制造業、食品和飲料以及化工行業。SIMATIC S7-1500 CPU產品專為全球制造、食品和飲料以及化工等工業環境中的離散和連續控制而設計。SIMATIC S7-1500 Software Controller是用于基于PC的自動化解決方案的SIMATIC軟件控制器。SIMATIC S7-PLCSIM Advanced模擬S7-1200、S7-1500和其他一些PLC衍生產品。包括模擬PLC的完全網絡訪問，即使在虛擬化環境中也是如此。SIPLUS extreme產品設計用于在極端條件下可靠運行，基于SIMATIC，LOGO!，SITOP，SINAMICS，SIMOTION，SCALANCE或其他設備。SIPLUS設備使用與其所基于的產品相同的固件。TIM 1531 IRC是SIMATIC S7-1500、S7-400、S7-300與SINAUT ST7、DNP3和IEC 60870-5-101/104的通信模塊，具有三個RJ45接口，用于通過基于IP的網絡（WAN/LAN）進行通信，以及一個RS 232/RS 485接口，用于經經典WAN網絡進行通信。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在設備中拒絕服務，在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Parasolid越界寫入漏洞（CNVD-2022-87977、CNVD-2022-87979、CNVD-2022-87978、CNVD-2022-87980）、Siemens Industrial產品拒絕服務漏洞（CNVD-2022-87982、CNVD-2022-87984、CNVD-2022-87983、CNVD-2022-87985）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Database Server是美國甲骨文（Oracle）公司的一套關系數據庫管理系統。該數據庫管理系統提供數據管理、分布式處理等功能。Java VM是其中的一個Java虛擬機組件。Oracle Fusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。Oracle MySQL Server是一款關系型數據庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過HTTP訪問網絡，從而破壞Oracle Enterprise Data Quality，對Oracle Enterprise Data Quality的關鍵數據和所有可訪問數據，導致對Java VM可訪問數據的子集進行未經授權的讀取訪問，通過多種協議訪問網絡，從而破壞MySQL Server，并導致MySQL Server掛起或頻繁重復崩潰（完全DOS）等。

CNVD收錄的相關漏洞包括：Oracle Database Server信息泄露漏洞（CNVD-2022-87654）、Oracle Enterprise Data Quality信息泄露漏洞、Oracle MySQL Server拒絕服務漏洞（CNVD-2022-87656、CNVD-2022-87655、CNVD-2022-87659、CNVD-2022-87658、CNVD-2022-87657、CNVD-2022-87660）。其中，“Oracle Enterprise Data Quality信息泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM WebSphere MQ是美國國際商業機器（IBM）公司的一套系統。IBM Sterling Secure Proxy是一個用于確保組織非保護區(DMZ)中文件安全傳輸的應用程序代理。IBM PowerVM Hypervisor是一個應用軟件。提供了一個安全且可擴展的虛擬化環境，這些應用程序基于Power Systems平臺的高級RAS功能和領先性能而構建。IBM Sterling Partner Engagement Manager是一個自動化管理工具。IBM Security Access Manager Appliance（ISAM Appliance）是一款基于網絡設備的安全解決方案。該產品主要用于訪問控制和基于Web的威脅防護，提供系統性能監控、日志分析和診斷等功能。IBM Engineering Requirements Quality Assistant是一款基于Watson AI用于輔助開發人員提高工程需求質量的軟件。該應用可顯著降低發現缺陷成本，有利于盡早發現工程流程中的需求錯誤，加快產品上市。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞解密高度敏感的信息，繞過安全配置設置并導致拒絕服務，獲得提升的權限等。

CNVD收錄的相關漏洞包括：IBM WebSphere MQ拒絕服務漏洞（CNVD-2022-87643）、IBM Sterling Secure Proxy弱加密漏洞、IBM PowerVM Hypervisor配置錯誤漏洞、IBM Sterling Partner Engagement Manager跨站請求偽造漏洞、IBM Sterling Partner Engagement Manager服務器端請求偽造漏洞、IBM Sterling Partner Engagement Manager LDAP注入漏洞、IBM Security Access Manager Appliance訪問控制錯誤漏洞（CNVD-2022-87650）、IBM Engineering Requirements Quality Assistant跨站腳本漏洞（CNVD-2022-87649）。其中，除“IBM Sterling Partner Engagement Manager服務器端請求偽造漏洞、IBM Security Access Manager Appliance訪問控制錯誤漏洞（CNVD-2022-87650）、IBM Engineering Requirements Quality Assistant跨站腳本漏洞（CNVD-2022-87649）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Reader是一套PDF文檔閱讀軟件。Adobe Framemaker是一套用于編寫和編輯大型或復雜文檔（包括結構化文檔）的頁面排版軟件。Adobe Dimension是一套2D和3D合成設計工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行代碼或導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2022-87164、CNVD-2022-87165）、多款Adobe產品資源管理錯誤漏洞、Adobe FrameMaker堆緩沖區溢出漏洞（CNVD-2022-87169、CNVD-2022-87168）、Adobe Dimension內存錯誤引用漏洞、Adobe Dimension代碼執行漏洞、Adobe Dimension越界讀取漏洞。其中，除“Adobe Experience Manager跨站腳本漏洞（CNVD-2022-87164、CNVD-2022-87165）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress Read more By Adam跨站請求偽造漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。上周，WordPress Read more By Adam被披露存在跨站請求偽造漏洞。攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Siemens產品被披露存在多個漏洞，攻擊者可利用漏洞在設備中拒絕服務，在當前進程的上下文中執行代碼。此外，Oracle、IBM、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致對Java VM可訪問數據的子集進行未經授權的讀取訪問，解密高度敏感的信息，繞過安全配置設置并導致拒絕服務，獲得提升的權限，在系統上執行代碼或導致應用程序崩潰等。另外，WordPress Read more By Adam被披露存在跨站請求偽造漏洞。攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀保監會、中國工商銀行客戶服務、交通銀行、中國光大銀行、江西銀行、貴州銀行、桂林銀行金融服務報道

責任編輯：韓希宇