國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞298個，互聯(lián)網(wǎng)上出現(xiàn)“Subrion CMS跨站腳本漏洞（CNVD-2023-23822）、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

(資料圖片)

一周行業(yè)要聞速覽

支付清算協(xié)會：已暴露出跨境數(shù)據(jù)泄露等風險，倡導支付從業(yè)者謹慎使用ChatGPT等工具

為有效應對風險、保護客戶隱私、維護數(shù)據(jù)安全，提升支付清算行業(yè)的數(shù)據(jù)安全管理水平，中國支付清算協(xié)會向行業(yè)發(fā)出三條倡議。>>詳細

【提醒】如何守住你的隱私？注意這些細節(jié)！

點擊陌生鏈接很可能會泄露個人信息，黑客最常用的方式就是在鏈接中添加木馬病毒。>>詳細

情暖新市民，護好“錢袋子”，浦發(fā)銀行在行動

如何切實提升社會公眾金融素養(yǎng)，有效防范化解金融風險，理性選擇適合自己的金融產(chǎn)品和服務，更好地滿足“新市民”群體對美好生活的向往，金融要有擔當，金融服務要跟上。>>詳細

“智能建模”，引領反詐風險管理新航向

伴隨著長行智能化、數(shù)字化轉型的腳步，長沙銀行現(xiàn)已成立賬戶風險管理智能建模項目組。>>詳細

【以案說險】直播帶貨套路多，理性消費記心窩

隨著網(wǎng)絡的發(fā)達和直播行業(yè)的興起，不少企業(yè)利用網(wǎng)絡直播漏洞欺詐消費者，網(wǎng)絡購物時，消費者應該擦亮眼睛，必要時要維護自己的合法權益。>>詳細

【小We談消保】非法集資新套路！不得都防一下啊！

不要輕易相信所謂的高息“保險”、高息“理財”，高收益意味著高風險，理性選擇合法正規(guī)的投資渠道，自覺抵制各種誘惑，遠離非法集資活動，是對我們錢袋子最大的保護。>>詳細

【消保知識】電詐手法揭秘篇（一）

小AI總結了常見電詐手段，請廣大消費者注意防范，切實維護自身合法權益。>>詳細

北部灣銀行南寧城北支行準確識別電信詐騙 守護群眾“錢袋子”

近日，廣西北部灣銀行南寧市城北支行營業(yè)部準確識別電信詐騙，為客戶避免經(jīng)濟損失十余萬元。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年4月3日-9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞298個，其中高危漏洞116個、中危漏洞157個、低危漏洞25個。漏洞平均分值為6.19。上周收錄的漏洞中，涉及0day漏洞251個（占84%），其中互聯(lián)網(wǎng)上出現(xiàn)“Subrion CMS跨站腳本漏洞（CNVD-2023-23822）、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產(chǎn)品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統(tǒng)。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，通過精心設計的HTML頁面潛在地利用堆損壞。

CNVD收錄的相關漏洞包括：Google Chrome ANGLE越界讀取漏洞、Google Chrome ANGLE內存錯誤引用漏洞（CNVD-2023-23573）、Google Pixel bta_av_co.cc文件緩沖區(qū)溢出漏洞、Google Chrome越界訪問漏洞、Google Pixel ble_scanner_hci_interface.cc文件緩沖區(qū)溢出漏洞、Google Chrome Web Payments API組件代碼問題漏洞、Google Chrome Navigation組件代碼問題漏洞、Google Android緩沖區(qū)溢出漏洞（CNVD-2023-25101）。其中“Google Chrome ANGLE越界讀取漏洞、Google Chrome ANGLE內存錯誤引用漏洞（CNVD-2023-23573）、Google Chrome越界訪問漏洞、Google Android緩沖區(qū)溢出漏洞（CNVD-2023-25101）”漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Apache產(chǎn)品安全漏洞

Apache Dubbo是美國阿帕奇（Apache）基金會的一款基于Java的輕量級RPC（遠程過程調用）框架。該產(chǎn)品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發(fā)現(xiàn)等功能。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴展和動態(tài)監(jiān)控等特點。Apache Kafka是美國阿帕奇（Apache）基金會的一套開源的分布式流媒體平臺。該平臺能夠獲取實時數(shù)據(jù)，用于構建對數(shù)據(jù)流的變化進行實時反應的應用程序。Apache ShenYu是美國阿帕奇（Apache）基金會的一個異步的，高性能的，跨語言的，響應式的API網(wǎng)關。Apache Commons FileUpload是美國阿帕奇（Apache）基金會的一個可將文件上傳到Servlet和Web應用程序的軟件包。Apache NiFi是美國阿帕奇（Apache）基金會的一套數(shù)據(jù)處理和分發(fā)系統(tǒng)。該系統(tǒng)主要用于數(shù)據(jù)路由、轉換和系統(tǒng)中介邏輯。Apache Fineract是美國阿帕奇（Apache）基金會的一套開源數(shù)字金融服務平臺。該平臺能夠為用戶提供數(shù)據(jù)管理、貸款和儲蓄投資組合管理以及實時財務數(shù)據(jù)等功能。Apache Archiva是美國阿帕奇（Apache）基金會的一套用于管理一個或多個遠程存儲的軟件。該軟件提供遠程Repository代理、基于角色的安全訪問管理和使用情況報告等功能。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在受害者的系統(tǒng)上執(zhí)行任意代碼等。

CNVD收錄的相關漏洞包括：Apache Dubbo代碼問題漏洞（CNVD-2023-23551）、Apache Airflow信息泄露漏洞（CNVD-2023-23550）、Apache Kafka代碼問題漏洞（CNVD-2023-23554）、Apache ShenYu授權問題漏洞（CNVD-2023-23553）、Apache Commons FileUpload拒絕服務漏洞（CNVD-2023-23552）、Apache NiFi XML外部實體注入漏洞（CNVD-2023-23555）、Apache Fineract SQL注入漏洞（CNVD-2023-23557）、Apache Archiva跨站腳本漏洞（CNVD-2023-23556）。其中，除“Apache Airflow信息泄露漏洞（CNVD-2023-23550）、Apache Fineract SQL注入漏洞（CNVD-2023-23557）、Apache Archiva跨站腳本漏洞（CNVD-2023-23556）”外，其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Foxit產(chǎn)品安全漏洞

Foxit PDF Editor是中國福昕（Foxit）公司的一款PDF編輯器。Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執(zhí)行任意代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Editor遠程代碼執(zhí)行漏洞（CNVD-2023-23560、CNVD-2023-23563）、Foxit PDF Reader遠程代碼執(zhí)行漏洞（CNVD-2023-23565、CNVD-2023-23566、CNVD-2023-23568、CNVD-2023-23567、CNVD-2023-23570、CNVD-2023-23569）。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Delta Electronics產(chǎn)品安全漏洞

Delta Electronics InfraSuite Device Master是Delta Electronics的用于簡化和自動化關鍵設備監(jiān)控的設備。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞讀取本地文件、公開明文憑據(jù)并升級權限，遠程執(zhí)行代碼等。

CNVD收錄的相關漏洞包括：Delta Electronics InfraSuite Device Master路徑遍歷漏洞（CNVD-2023-23884、CNVD-2023-23890）、Delta Electronics InfraSuite Device Master反序列化漏洞（CNVD-2023-23883、CNVD-2023-23887）、Delta Electronics InfraSuite Device Master認證錯誤漏洞、Delta Electronics InfraSuite Device Master身份驗證錯誤漏洞、Delta Electronics InfraSuite Device Master命令注入漏洞、Delta Electronics InfraSuite Device Master訪問控制錯誤漏洞（CNVD-2023-23889）。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Home Owners Collection Management System文件上傳漏洞

Home Owners Collection Management System是一個業(yè)主收款管理系統(tǒng)。上周，Home Owners Collection Management System被披露存在文件上傳漏洞。攻擊者可利用該漏洞通過精心制作的PHP文件執(zhí)行任意代碼。目前，廠商尚未發(fā)布上述漏洞的修補程序。

小結

上周，Google產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，通過精心設計的HTML頁面潛在地利用堆損壞。此外，Apache、Foxit、Delta Electronics等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在受害者的系統(tǒng)上執(zhí)行任意代碼等。另外，Home Owners Collection Management System被披露存在文件上傳漏洞。攻擊者可利用該漏洞通過精心制作的PHP文件執(zhí)行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、21世紀經(jīng)濟報道、中國建設銀行、遇見浦發(fā)、貴州銀行、快樂長行人、廣西北部灣銀行微生活、微眾銀行、百信銀行報道

關鍵詞：