國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞474個，互聯網上出現“Etaplighting Etap Safety Manager跨站腳本漏洞、Food Ordering Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

(相關資料圖)

農業銀行消費者權益保護教育宣傳這一年

據統計，農業銀行全年累計開展各類集中宣傳活動12.76萬余次，投入宣傳人員近67萬人次，參與營業網點2.2萬余個，活動觸及消費者近8億人次。>>詳細

警惕！謹防醫保詐騙短信，切勿點擊不明網址鏈接！

釣魚鏈接需警惕，切勿點擊要當心，致電官方先核實，謹防信息遭泄露，警覺意識要提高，防詐口訣請記牢。>>詳細

反詐丨防范電信網絡詐騙《反電信網絡詐騙法》知識宣傳

組織、策劃、實施、參與電信網絡詐騙活動或者為電信網絡詐騙活動提供幫助，構成犯罪的，依法追究刑事責任。>>詳細

【消保黔行】手機APP授權，如何做好個人信息保護

在信息化和數字化快速轉型的浪潮下，各種移動終端、互聯網應用和社交軟件層出不窮，在大大便利了人們生活的同時，也增加了個人隱私和信息受威脅的途徑，大家一定要保護好自己的信息，謹防泄露。>>詳細

防詐|@所有人，您有一份春節防詐騙指南請收好~

春節都繞不開發紅包，收得多了警惕性也有所降低，此時便會不小心踏入不法分子的騙局中。>>詳細

除了網銀Ukey，你知道數字證書還有哪些用途嗎？

無論是線上簽署金融貸款合同、房屋租賃合同、還是入職勞動合同等多個領域都有數字證書的身影。>>詳細

CFCA開放平臺能力輸出范本——SD-WAN在金融領域最佳實踐

SD-WAN可將企業的總部、分支和多云之間實現互聯，并在不同混合鏈路（MPLS，Internet，5G，LTE等）之間選擇最優傳輸路徑，提供優質的上云體驗。>>詳細

【反詐】警惕！“以房養老”是陷阱，保本收益是騙局

建議消費者尤其是老年人群，在購買投資理財產品前，多咨詢正規金融機構的專業人員，多與家人商量，防范不法分子詐騙侵害。>>詳細

【防詐】“制服信任”不可取，代客操作是違規！

金融消費者要警惕詐騙侵害，妥善保管賬號、密碼、支付工具等重要信息，警惕并拒絕他人提出的代為保管重要信息或操作銀行賬戶等違規行為，提升自身反詐意識和能力。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年12月26日- 2023年1月1日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞474個，其中高危漏洞215個、中危漏洞228個、低危漏洞31個。漏洞平均分值為6.45。上周收錄的漏洞中，涉及0day漏洞341個（占72%），其中互聯網上出現“Etaplighting Etap Safety Manager跨站腳本漏洞、Food Ordering Management System SQL注入漏洞”等零日代碼攻擊漏洞。

Siemens產品安全漏洞

Siemens Parasolid是德國西門子（Siemens）公司的一個幾何建模內核。Siemens Simcenter STAR-CCM+是德國西門子（Siemens）公司的一個完整的多物理場解決方案，可對真實條件下工作的產品和設計進行仿真。Siemens SICAM PAS/PQS是德國西門子（Siemens）公司的一款帶有用于能源自動化和電能質量操作系統的軟件。Siemens Solid Edge是德國西門子（Siemens）公司的一款三維CAD軟件。該軟件可用于零件設計、裝配設計、鈑金設計、焊接設計等行業。Siemens LOGO! 8 BM是德國西門子（Siemens）公司的一個用于工業環境用于Windows平臺的編程軟件。Siemens Industrial Edge Management是德國西門子（Siemens）公司的一個平臺，用于在靠近車間的計算平臺上托管來自不同供應商的應用程序。Siemens Desigo PX是德國西門子（Siemens）公司的一套樓宇自動化控制系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以root權限執行任意系統命令，在應用程序崩潰時發送消息并創建拒絕服務條件等。

CNVD收錄的相關漏洞包括：Siemens Parasolid越界寫入漏洞（CNVD-2022-89757）、Siemens Simcenter STAR-CCM+權限提升漏洞、Siemens SICAM PAS/PQS輸入驗證錯誤漏洞、Siemens Solid Edge堆緩沖區溢出漏洞（CNVD-2022-89764）、Siemens LOGO! 8 BM輸入驗證錯誤漏洞（CNVD-2022-89766）、Siemens LOGO! 8 BM緩沖區溢出漏洞（CNVD-2022-89767）、Siemens Industrial Edge Management信任管理問題漏洞、多款Siemens產品操作系統命令注入漏洞。上述漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android拒絕服務漏洞（CNVD-2022-89771、CNVD-2022-89772、CNVD-2022-89773）、Google Android代碼執行漏洞（CNVD-2022-89774、CNVD-2022-89776）、Google Android信息泄露漏洞（CNVD-2022-89775）。其中，“Google Android權限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android代碼執行漏洞（CNVD-2022-89774、CNVD-2022-89776）” 的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Verify Governance Identity Manager是IBM一款基于網絡設備的集成，主要用以業務為中心的規則、活動和流程。IBM Spectrum Control（前稱Tivoli Storage Productivity Center）是美國國際商業機器（IBM）公司的一套存儲資源管理軟件。該軟件可以為多個存儲系統提供監控、自動化和分析。IBM Security Guardium是美國國際商業機器（IBM）公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Cognos Analytics是美國IBM公司的一套商業智能軟件。該軟件包括報表、儀表板和記分卡等，并可通過分析關鍵因素與關鍵人等內容，協助企業調整決策。IBM Engineering Requirements Quality Assistant是美國IBM公司的一款基于Watson AI用于輔助開發人員提高工程需求質量的軟件。該應用可顯著降低發現缺陷成本，有利于盡早發現工程流程中的需求錯誤，加快產品上市。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞向內部網絡或本地文件系統發出任意請求，獲取敏感信息，在Web UI中嵌入任意JavaScript代碼等。

CNVD收錄的相關漏洞包括：IBM Security Verify Governance Identity Manager信息泄露漏洞（CNVD-2022-91125）、IBM Spectrum Control弱加密漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2022-91128）、IBM Cognos Analytics服務器端請求偽造漏洞、IBM Cognos Analytics跨站腳本漏洞（CNVD-2022-91132）、IBM Cognos Analytics敏感信息泄露漏洞（CNVD-2022-91131）、IBM Cognos Analytics日志注入漏洞、IBM Engineering Requirements Quality Assistant輸入驗證錯誤漏洞。其中，“IBM Spectrum Control弱加密漏洞、IBM Cognos Analytics服務器端請求偽造漏洞、IBM Cognos Analytics日志注入漏洞”的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞在瀏覽器上下文中執行惡意JavaScript。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2022-91149、CNVD-2022-91148、CNVD-2022-91147、CNVD-2022-91146、CNVD-2022-91152、CNVD-2022-91151、CNVD-2022-91150、CNVD-2022-91156）。目前，廠商已經發布了上述漏洞的修補程序。

LibreNMS命令注入漏洞（CNVD-2022-91160）

LibreNMS是LibreNMS社區的一套基于PHP和MySQL的開源網絡監控系統。該系統具有自定義警報、自動發現網絡環境和自動更新等特點。上周，LibreNMS被披露存在命令注入漏洞，該漏洞源于service_ip、hostname和service_param參數未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Siemens產品被披露存在多個漏洞，攻擊者可利用漏洞以root權限執行任意系統命令，在應用程序崩潰時發送消息并創建拒絕服務條件等。此外，Google、IBM、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞向內部網絡或本地文件系統發出任意請求，獲取敏感信息，提升權限，在系統上執行任意代碼，造成拒絕服務等。另外，LibreNMS被披露存在命令注入漏洞。攻擊者可利用漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、中國光大銀行、北京銀行微銀行、江蘇銀行、貴州銀行、錦州銀行、廣東農信報道

關鍵詞： 信息安全 德國西門子 拒絕服務