国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞595个，互联网上出现“Tenda AC21缓冲区溢出漏洞、D-Link DIR820LA1命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

(资料图片)

工业和信息化部等八部门关于推进IPv6技术演进和应用创新发展的实施意见

统筹发展和安全，强化技术安全管理和防护手段建设，做到安全保护措施与关键信息基础设施同步规划、同步建设、同步使用。>>详细

科技赋能 构建反假币数字化防线

利用大数据分析技术，在柜面收付、现金清分环节，对标假币数据库进行实时流式运算，实现在柜面收付、或后台清分环节，智能化、精准识别假币，通过电脑弹窗、短信预警，秒级输出假币“命中”结果。>>详细

消保靠“浦” ｜先缴费再放款？警惕这类贷款诈骗！

消费者如有信贷服务需求，应通过正规金融机构渠道办理，在业务办理前，应多咨询正规金融机构专业人员，警惕不法中介机构的非法营销行为。>>详细

以案说险｜名为转账验资、实为电信诈骗

当前，电信网络诈骗形式多样、手段隐蔽，不法分子鼓吹的“投资项目”五花八门，一些看似赚钱的“投资方法”就是不法分子布下的陷阱。>>详细

金教基地 | 金融安全知识进校园

晋商银行将持续开展金融知识普及活动，承担社会责任，加大金融知识宣传的力度和广度，为广大师生提供更加优质的金融服务。>>详细

【以案说险】不明链接有风险，守住您的钱袋子

不要轻信来历不明的电话和手机短信，需要通过其他渠道核实。切莫贪图小恩小惠。>>详细

鲤想金融小课堂：非法集资的四个常见手法

今天鲤想为大家带来了“非法集资常见手段”，提醒广大市民，要提高风险防范意识，自觉抵制非法集资。>>详细

安全|看这里！给您一个银行卡安全使用小锦囊~

一旦发现有伪卡交易和账户盗用等非本人授权交易时，应当第一时间冻结、挂失卡片，避免再次遭受盗刷，同时在发卡机构的指导下留存证据，按照相关规则进行差错争议处理。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年4月17日-23日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞595个，其中高危漏洞254个、中危漏洞309个、低危漏洞32个。漏洞平均分值为6.43。上周收录的漏洞中，涉及0day漏洞501个（占84%），其中互联网上出现“Tenda AC21缓冲区溢出漏洞、D-Link DIR820LA1命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Substance 3D Designer是美国奥多比（Adobe）公司的一款3D设计软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Substance 3D Designer堆缓冲区溢出漏洞（CNVD-2023-29793、CNVD-2023-29794）、Adobe Substance 3D Designer堆栈缓冲区溢出漏洞、Adobe Substance 3D Designer越界读取漏洞（CNVD-2023-29799、CNVD-2023-29801、CNVD-2023-29800）、Adobe Substance 3D Designer内存错误引用漏洞（CNVD-2023-29802、CNVD-2023-29803）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Landscape Management是德国思爱普（SAP）公司的一套SAP产品集中管理系统。SAP NetWeaver AS Java是一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。SAP ABAP Platform是一个基于ABAP的SAP解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取和修改一些敏感信息，提升权限等。

CNVD收录的相关漏洞包括：SAP Landscape Management信息泄露漏洞（CNVD-2023-28117）、SAP NetWeaver AS Java访问控制错误漏洞、SAP ABAP Platform路径遍历漏洞、SAP NetWeaver AS Java授权问题漏洞（CNVD-2023-28121）、SAP NetWeaver AS授权问题漏洞、SAP NetWeaver Application Server访问控制错误漏洞、SAP NetWeaver跨站脚本漏洞（CNVD-2023-28125）、SAP NetWeaver AS输入验证错误漏洞（CNVD-2023-28124）。其中，“SAP Landscape Management信息泄露漏洞（CNVD-2023-28117）、SAP ABAP Platform路径遍历漏洞、SAP NetWeaver AS授权问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞对受影响设备进行存储型跨站脚本（XSS）攻击 。

CNVD收录的相关漏洞包括：Cisco Firepower Management Center跨站脚本漏洞（CNVD-2023-28093、CNVD-2023-28092、CNVD-2023-28096、CNVD-2023-28095、CNVD-2023-28094、CNVD-2023-28100、CNVD-2023-28099、CNVD-2023-28098）。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft PostScript Printer Driver是美国微软（Microsoft）公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是一个打印机驱动软件。Microsoft Windows是一款窗口化操作系统。Microsoft Azure是一套开放的企业级云计算平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致信息泄露，特权提升，远程执行代码等。

CNVD收录的相关漏洞包括：Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞（CNVD-2023-28102、CNVD-2023-28103、CNVD-2023-28109、CNVD-2023-28111）、Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-28105）、Microsoft PostScript and PCL6 Class Printer Driver权限提升漏洞、Microsoft Visual Studio远程代码执行漏洞（CNVD-2023-29362）、Microsoft Azure Service Connector安全功能绕过漏洞。其中，除“Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-28105）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell PowerPath Management Appliance信息泄露漏洞

Dell PowerPath Management Appliance是美国戴尔（Dell）公司的一种PowerPath主机管理应用程序，提供两种模型：基于虚拟机的设备和Docker容器化设备。上周，Dell PowerPath Management Appliance被披露存在信息泄露漏洞，攻击者可利用该漏洞查看储存在日志中的敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，SAP、Cisco、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞对受影响设备进行存储型跨站脚本（XSS）攻击，导致信息泄露，特权提升，远程执行代码等。另外，Dell PowerPath Management Appliance被披露存在信息泄露漏洞，攻击者可利用该漏洞查看储存在日志中的敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工业和信息化部、中国银行财富金融、遇见浦发、晋商银行、河北银行、广东农信、廊坊银行掌上资讯、兴业数金报道

责任编辑：韩希宇