國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞229個，互聯網上出現“Lead Management System SQL注入漏洞（CNVD-2023-05741）、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

(資料圖片)

一周行業要聞速覽

【防詐騙】警惕！有人在電話或網上讓你做這幾件事，很可能是騙子

涉及錢財需謹慎，請仔細核對并確認收款人、收款賬戶信息無誤再進行轉賬，不要輕信所謂的“安全賬戶”。>>詳細

【反詐干貨】教你識別假幣騙局，練就“火眼金睛”

如果誤收了假幣，請不要再繼續使用，應上繳當地銀行或公安機關。如果知道是誰向你支付了這張假幣，可以向公安機關報告，由公安機關進行后續處理。>>詳細

【信用卡】金融知識小課堂第三期

若發生金融糾紛，消費者可以通過銀行客服熱線反映訴求，也可以通過銀行業保險業調解組織熱線、監管部門公布的官方渠道反映訴求。>>詳細

鄭州銀行帶你了解《鄭州市假幣犯罪舉報獎勵辦法（試行）》

凡向鄭州市公安機關舉報鄭州市轄區內假幣犯罪，經查證屬實并對案件偵查工作起到重要作用的自然人、法人或其他組織，為舉報有功人員。>>詳細

供應鏈金融數字化轉型，安全風險如何防范？

CFCA已與多家知名大型供應鏈金融平臺達成合作，為其提供成熟的解決方案，實現了核心企業資金回籠加快、上下游企業粘性提升、融資平臺現有發展模式突破。>>詳細

北京市場監管局：警惕“元宇宙”等炒作 防范新型非法集資

切勿相信所謂“穩賺不賠”“高收益、零風險”的謊言，謹記高收益必然伴隨著高風險。>>詳細

民生銀行：警銀聯動機智勸阻 “養老”不“坑老”

近日，民生銀行天津西站支行成功堵截一起養老詐騙，為客戶避免30萬元資金損失。>>詳細

深圳農商銀行成功攔截電信詐騙案，以實際行動守護客戶資金安全

民警到達網點后，與理財經理一起對龍先生進行了勸阻，龍先生才恍然大悟，意識到遭遇了詐騙，放棄了轉賬，成功避免了24萬元的經濟損失。>>詳細

這場“溫情”騙局被識穿 貴陽銀行世紀城社區支行為客戶挽回10萬元

2月6日上午，貴陽銀行世紀城社區支行成功堵截了一起網絡詐騙，及時為客戶挽回經濟損失10萬元。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年1月30日-2月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞229個，其中高危漏洞106個、中危漏洞114個、低危漏洞9個。漏洞平均分值為6.59。上周收錄的漏洞中，涉及0day漏洞115個（占50%），其中互聯網上出現“Lead Management System SQL注入漏洞（CNVD-2023-05741）、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Sterling B2B Integrator是美國國際商業機器（IBM）公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。IBM Spectrum Virtualize是美國國際商業機器（IBM）公司的一個塊存儲虛擬化系統。可提高新的和現有存儲基礎架構的數據價值、安全性和簡單性。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼，從而改變預期的功能，導致可信會話中的憑證泄露，發送特制的SQL語句，查看、添加、修改或刪除后端數據庫中的信息等。

CNVD收錄的相關漏洞包括：IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2023-05240）、IBM Sterling B2B Integrator權限提升漏洞（CNVD-2023-05239）、IBM Sterling B2B Integrator跨站腳本漏洞（CNVD-2023-05238、CNVD-2023-05245）、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2023-05244、CNVD-2023-05241）、IBM Spectrum Virtualize信息泄露漏洞、IBM Sterling B2B Integrator Standard Edition跨站腳本漏洞（CNVD-2023-05243）。其中，“IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2023-05240）、IBM Sterling B2B Integrator權限提升漏洞（CNVD-2023-05239）”漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe InCopy是美國奧多比（Adobe）公司的一款用于創作的文本編輯軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過ASLR等緩解措施，導致敏感內存泄露，在當前用戶的上下文中任意執行代碼等。

CNVD收錄的相關漏洞包括：Adobe InCopy緩沖區溢出漏洞（CNVD-2023-05227、CNVD-2023-05231）、Adobe InCopy越界寫入漏洞（CNVD-2023-05226、CNVD-2023-05230）、Adobe InCopy輸入驗證錯誤漏洞、Adobe InCopy釋放后使用漏洞、Adobe InCopy越界讀取漏洞（CNVD-2023-05234、CNVD-2023-05225）。其中，除“Adobe InCopy越界讀取漏洞（CNVD-2023-05225、CNVD-2023-05234）、Adobe InCopy釋放后使用漏洞”外其余漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Superset是美國阿帕奇（Apache）基金會的一個數據可視化和數據探索平臺。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。Apache James是美國阿帕奇（Apache）基金會的一個完全用Java編寫的開源Smtp和Pop3 郵件傳輸代理和Nntp新聞服務器。Apache Calcite是一個動態數據管理框架，它具備很多典型數據庫管理系統的功能，比如SQL解析、SQL校驗、SQL查詢優化、SQL生成以及數據連接查詢等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致跨站腳本攻擊，提交特殊的請求，可以應用程序上下文執行任意命令等。

CNVD收錄的相關漏洞包括：Apache Superset跨站腳本漏洞（CNVD-2023-05220、CNVD-2023-05219、CNVD-2023-05218）、Apache Superset訪問控制錯誤漏洞（CNVD-2023-05217）、 Apache Airflow命令注入漏洞（CNVD-2023-05224）、Apache James信息泄露漏洞、Apache James授權問題漏洞、Apache Calcite點擊劫持漏洞。其中“Apache Superset跨站請求偽造漏洞、 Apache Airflow命令注入漏洞（CNVD-2023-05224）”漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞能夠讀取和修改數據，繞過iframe沙箱并在任意窗口的上下文中執行任意JavaScript代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox安全特征問題漏洞（CNVD-2023-05205、CNVD-2023-05206）、Mozilla Firefox信任管理問題漏洞（CNVD-2023-05204）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-05208）、Mozilla Firefox代碼問題漏洞（CNVD-2023-05207）、Mozilla Firefox權限許可和訪問控制問題漏洞（CNVD-2023-05212、CNVD-2023-05211）、Mozilla Firefox競爭條件漏洞。其中，除“Mozilla Firefox代碼問題漏洞（CNVD-2023-05207）”外其余漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Online Food Ordering System任意文件上傳漏洞（CNVD-2023-06523）

Online Food Ordering System是一個在線食品訂購系統。上周，Online Food Ordering System被披露存在文件上傳漏洞。攻擊者可利用該漏洞上傳惡意文件從而遠程執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼，從而改變預期的功能，導致可信會話中的憑證泄露，發送特制的SQL語句，查看、添加、修改或刪除后端數據庫中的信息等。此外，Adobe、Apache、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過ASLR等緩解措施，導致敏感內存泄露，在當前用戶的上下文中任意執行代碼，讀取和修改數據，繞過iframe沙箱并在任意窗口的上下文中執行任意JavaScript代碼等。另外，Online Food Ordering System被披露存在任意文件上傳漏洞。攻擊者可利用該漏洞上傳惡意文件從而遠程執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、中國工商銀行客戶服務、民生銀行、上海銀行、鄭州銀行、貴陽銀行、深圳農商銀行報道

關鍵詞： 信息安全 修補程序