國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞246個，互聯網上出現“Simmeth System Supplier Manager SQL注入漏洞、Eolinker SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【反詐】謹防兼職刷單、網購退款、冒充學校收費騙局

(資料圖片)

反詐披巧：夸大宣傳不輕信、天上不會掉餡餅、給點甜頭是套路、兼職刷單不參與。>>詳細

【反詐提醒】網絡投資莫幻想，騙你掏錢沒商量

“96110”是全國反詐專線，如遇96110”來電，說明您可能正在遭遇電信網絡詐騙，一定要立即接聽，防止被騙。>>詳細

金中夏：金融開放與金融安全不是非此即彼的替代關系

中國人民銀行國際司司長金中夏4月4日在2023中國金融學會學術年會暨中國金融論壇年會上表示，從我國的實踐看，金融開放與金融安全不是一種非此即彼的替代關系。>>詳細

2023南方金融科技創新論壇分論壇：聚焦金融安全與數智創新，洞察金融數字化轉型新趨勢

金融信息基礎設施正常運行和安全保障，直接關系到國家安全和人民群眾的切身利益。>>詳細

安全課堂 | 警惕校園繳費新騙局，牢筑金融詐騙防火墻！

警惕校園繳費新騙局，牢筑金融詐騙防火墻！加強自我防范，提高防騙意識！>>詳細

【以案說險】造假解“燃眉之急”，貸款切忌操之過急！

個人貸款資金用途應符合法律法規規定和國家有關政策規定，個人在提出貸款申請時，應當提供正確的資料用于審核，同時要有明確合法的貸款用途，不可隱瞞實情以免造成不必要的損失。>>詳細

小鷹說反詐 | “做任務式”詐騙套路深

不法分子瞅準時機，利用人們賺取小錢的心理通過各種手段吸引群眾上當受騙，其中最典型的套路就是做任務賺傭金。近期，網點協助客戶識別了一起該類詐騙，及時幫助客戶資金止損。>>詳細

防詐|我拿你當客戶，你竟然想騙我的錢？

不要隨意在網上發布第三方支付軟件收（付）款碼。把付款碼設置成密碼支付，千萬不要免密支付！可適度增加一些手勢識別、刷臉等安全驗證方式。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年3月27日-4月2日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞246個，其中高危漏洞141個、中危漏洞90個、低危漏洞15個。漏洞平均分值為6.83。上周收錄的漏洞中，涉及0day漏洞198個（占80%），其中互聯網上出現“Simmeth System Supplier Manager SQL注入漏洞、Eolinker SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Dimension是美國奧多比（Adobe）公司的是一套2D和3D合成設計工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Dimension輸入驗證錯誤漏洞（CNVD-2023-21649、CNVD-2023-21651）、Adobe Dimension越界寫入漏洞（CNVD-2023-21650）、Adobe Dimension堆緩沖區溢出漏洞、Adobe Dimension越界讀取漏洞（CNVD-2023-21654、CNVD-2023-21658、CNVD-2023-21656、CNVD-2023-21657）。上述漏洞的綜合評級為“高?！薄Ｄ壳埃瑥S商已經發布了上述漏洞的修補程序。

D-Link產品安全漏洞

D-Link DIR-2150是D-Link公司的一個無線路由器設備。D-Link DWL-2600AP是一款無線接入點設備。D-Link DIR-846是一款無線路由器。D-Link DIR-825是一款路由器。D-Link DIR-823G是一款無線路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制數據包執行任意命令，在root上下文中執行代碼等。

CNVD收錄的相關漏洞包括：D-Link DIR-2150緩沖區溢出漏洞、D-Link DIR-2150緩沖區溢出漏洞（CNVD-2023-21662、CNVD-2023-21663）、D-Link DIR-2150操作系統命令注入漏洞（CNVD-2023-21660、CNVD-2023-21661）、D-Link DWL-2600AP命令注入漏洞、D-Link DIR-846命令注入漏洞（CNVD-2023-21666）、D-Link DIR-825緩沖區溢出漏洞（CNVD-2023-21665）、D-Link DIR-823G命令注入漏洞（CNVD-2023-21667）。其中，除“D-Link DWL-2600AP命令注入漏洞”外，其余漏洞的綜合評級為“高?！薄Ｄ壳?，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Guardium Key ifecycle Manager是管理通過集中化、精簡化和自動化來進行加密密鑰管理流程，以幫助保護加密數據和簡化加密密鑰管理。IBM Security Guardium是一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM WebSphere Application Server（WAS）是一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺，也是IBMWebSphere軟件平臺的基礎。IBM Financial Transaction Manager是一款金融事務管理器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過使用特制URL導致拒絕服務，執行非法SQL命令竊取數據庫敏感數據，執行任意命令等。

CNVD收錄的相關漏洞包括：IBM Security Guardium Key Lifecycle Manager未授權訪問漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2023-20082）、IBM Security Guardium SQL注入漏洞（CNVD-2023-20081）、IBM Aspera XML外部實體注入漏洞、IBM Aspera Faspex SQL注入漏洞、IBM Aspera訪問控制錯誤漏洞（CNVD-2023-20083）、IBM WebSphere Application Server輸入驗證錯誤漏洞（CNVD-2023-20087）、IBM Financial Transaction Manager目錄遍歷漏洞（CNVD-2023-20086）。其中，除“IBM Security Guardium Key Lifecycle Manager未授權訪問漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2023-20082）、IBM Security Guardium SQL注入漏洞（CNVD-2023-20081）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda產品安全漏洞

Tenda Ax3是中國騰達（Tenda）公司的一款Ax1800千兆端口雙頻Wifi 6無線路由器。Tenda G103是一款企業級Ap路由器。Tenda AC18是一款路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的包獲取敏感信息，導致遠程代碼執行或者拒絕服務等。

CNVD收錄的相關漏洞包括：Tenda AX3緩沖區溢出漏洞（CNVD-2023-21669）、Tenda G103命令注入漏洞、Tenda AC18緩沖區溢出漏洞（CNVD-2023-21673、CNVD-2023-21672、CNVD-2023-21671、CNVD-2023-21675、CNVD-2023-21674、CNVD-2023-21676）。上述漏洞的綜合評級為“高?！薄Ｄ壳埃瑥S商已經發布了上述漏洞的修補程序。

LS ELECTRIC XBC-DN32U拒絕服務漏洞

LS ELECTRIC XBC-DN32U是韓國LS ELECTRIC公司的一款PLC可編程邏輯控制器。上周，LS ELECTRIC XBC-DN32U被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，D-Link、IBM、Tenda等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的包獲取敏感信息，導致遠程代碼執行或者拒絕服務，執行任意命令等。另外，LS ELECTRIC XBC-DN32U被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國證券報·中證網、中國工商銀行客戶服務、中國郵政儲蓄銀行、北京銀行微銀行、微青銀、貴州銀行、廣東農信報道

關鍵詞：