國(guó)家信息安全漏洞共享平臺(tái)上周共收集、整理信息安全漏洞229個(gè)，互聯(lián)網(wǎng)上出現(xiàn)“Lead Management System SQL注入漏洞（CNVD-2023-05741）、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。中國(guó)電子銀行網(wǎng)為您梳理過(guò)去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識(shí)。

(資料圖片)

一周行業(yè)要聞速覽

【防詐騙】警惕！有人在電話或網(wǎng)上讓你做這幾件事，很可能是騙子

涉及錢財(cái)需謹(jǐn)慎，請(qǐng)仔細(xì)核對(duì)并確認(rèn)收款人、收款賬戶信息無(wú)誤再進(jìn)行轉(zhuǎn)賬，不要輕信所謂的“安全賬戶”。>>詳細(xì)

【反詐干貨】教你識(shí)別假幣騙局，練就“火眼金睛”

如果誤收了假幣，請(qǐng)不要再繼續(xù)使用，應(yīng)上繳當(dāng)?shù)劂y行或公安機(jī)關(guān)。如果知道是誰(shuí)向你支付了這張假幣，可以向公安機(jī)關(guān)報(bào)告，由公安機(jī)關(guān)進(jìn)行后續(xù)處理。>>詳細(xì)

【信用卡】金融知識(shí)小課堂第三期

若發(fā)生金融糾紛，消費(fèi)者可以通過(guò)銀行客服熱線反映訴求，也可以通過(guò)銀行業(yè)保險(xiǎn)業(yè)調(diào)解組織熱線、監(jiān)管部門公布的官方渠道反映訴求。>>詳細(xì)

鄭州銀行帶你了解《鄭州市假幣犯罪舉報(bào)獎(jiǎng)勵(lì)辦法（試行）》

凡向鄭州市公安機(jī)關(guān)舉報(bào)鄭州市轄區(qū)內(nèi)假幣犯罪，經(jīng)查證屬實(shí)并對(duì)案件偵查工作起到重要作用的自然人、法人或其他組織，為舉報(bào)有功人員。>>詳細(xì)

供應(yīng)鏈金融數(shù)字化轉(zhuǎn)型，安全風(fēng)險(xiǎn)如何防范？

CFCA已與多家知名大型供應(yīng)鏈金融平臺(tái)達(dá)成合作，為其提供成熟的解決方案，實(shí)現(xiàn)了核心企業(yè)資金回籠加快、上下游企業(yè)粘性提升、融資平臺(tái)現(xiàn)有發(fā)展模式突破。>>詳細(xì)

北京市場(chǎng)監(jiān)管局：警惕“元宇宙”等炒作 防范新型非法集資

切勿相信所謂“穩(wěn)賺不賠”“高收益、零風(fēng)險(xiǎn)”的謊言，謹(jǐn)記高收益必然伴隨著高風(fēng)險(xiǎn)。>>詳細(xì)

民生銀行：警銀聯(lián)動(dòng)機(jī)智勸阻 “養(yǎng)老”不“坑老”

近日，民生銀行天津西站支行成功堵截一起養(yǎng)老詐騙，為客戶避免30萬(wàn)元資金損失。>>詳細(xì)

深圳農(nóng)商銀行成功攔截電信詐騙案，以實(shí)際行動(dòng)守護(hù)客戶資金安全

民警到達(dá)網(wǎng)點(diǎn)后，與理財(cái)經(jīng)理一起對(duì)龍先生進(jìn)行了勸阻，龍先生才恍然大悟，意識(shí)到遭遇了詐騙，放棄了轉(zhuǎn)賬，成功避免了24萬(wàn)元的經(jīng)濟(jì)損失。>>詳細(xì)

這場(chǎng)“溫情”騙局被識(shí)穿 貴陽(yáng)銀行世紀(jì)城社區(qū)支行為客戶挽回10萬(wàn)元

2月6日上午，貴陽(yáng)銀行世紀(jì)城社區(qū)支行成功堵截了一起網(wǎng)絡(luò)詐騙，及時(shí)為客戶挽回經(jīng)濟(jì)損失10萬(wàn)元。>>詳細(xì)

安全威脅播報(bào)

上周漏洞基本情況

上周（2023年1月30日-2月5日）信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱CNVD）上周共收集、整理信息安全漏洞229個(gè)，其中高危漏洞106個(gè)、中危漏洞114個(gè)、低危漏洞9個(gè)。漏洞平均分值為6.59。上周收錄的漏洞中，涉及0day漏洞115個(gè)（占50%），其中互聯(lián)網(wǎng)上出現(xiàn)“Lead Management System SQL注入漏洞（CNVD-2023-05741）、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產(chǎn)品安全漏洞

IBM Sterling B2B Integrator是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實(shí)現(xiàn)復(fù)雜的B2B流程的安全集成。IBM Spectrum Virtualize是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一個(gè)塊存儲(chǔ)虛擬化系統(tǒng)?？商岣咝碌暮同F(xiàn)有存儲(chǔ)基礎(chǔ)架構(gòu)的數(shù)據(jù)價(jià)值、安全性和簡(jiǎn)單性。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼，從而改變預(yù)期的功能，導(dǎo)致可信會(huì)話中的憑證泄露，發(fā)送特制的SQL語(yǔ)句，查看、添加、修改或刪除后端數(shù)據(jù)庫(kù)中的信息等。

CNVD收錄的相關(guān)漏洞包括：IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2023-05240）、IBM Sterling B2B Integrator權(quán)限提升漏洞（CNVD-2023-05239）、IBM Sterling B2B Integrator跨站腳本漏洞（CNVD-2023-05238、CNVD-2023-05245）、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2023-05244、CNVD-2023-05241）、IBM Spectrum Virtualize信息泄露漏洞、IBM Sterling B2B Integrator Standard Edition跨站腳本漏洞（CNVD-2023-05243）。其中，“IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2023-05240）、IBM Sterling B2B Integrator權(quán)限提升漏洞（CNVD-2023-05239）”漏洞的綜合評(píng)級(jí)為“高?！薄Ｄ壳埃瑥S商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Adobe產(chǎn)品安全漏洞

Adobe InCopy是美國(guó)奧多比（Adobe）公司的一款用于創(chuàng)作的文本編輯軟件。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞繞過(guò)ASLR等緩解措施，導(dǎo)致敏感內(nèi)存泄露，在當(dāng)前用戶的上下文中任意執(zhí)行代碼等。

CNVD收錄的相關(guān)漏洞包括：Adobe InCopy緩沖區(qū)溢出漏洞（CNVD-2023-05227、CNVD-2023-05231）、Adobe InCopy越界寫入漏洞（CNVD-2023-05226、CNVD-2023-05230）、Adobe InCopy輸入驗(yàn)證錯(cuò)誤漏洞、Adobe InCopy釋放后使用漏洞、Adobe InCopy越界讀取漏洞（CNVD-2023-05234、CNVD-2023-05225）。其中，除“Adobe InCopy越界讀取漏洞（CNVD-2023-05225、CNVD-2023-05234）、Adobe InCopy釋放后使用漏洞”外其余漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Apache產(chǎn)品安全漏洞

Apache Superset是美國(guó)阿帕奇（Apache）基金會(huì)的一個(gè)數(shù)據(jù)可視化和數(shù)據(jù)探索平臺(tái)。Apache Airflow是美國(guó)阿帕奇（Apache）基金會(huì)的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開(kāi)源平臺(tái)。Apache James是美國(guó)阿帕奇（Apache）基金會(huì)的一個(gè)完全用Java編寫的開(kāi)源Smtp和Pop3 郵件傳輸代理和Nntp新聞服務(wù)器。Apache Calcite是一個(gè)動(dòng)態(tài)數(shù)據(jù)管理框架，它具備很多典型數(shù)據(jù)庫(kù)管理系統(tǒng)的功能，比如SQL解析、SQL校驗(yàn)、SQL查詢優(yōu)化、SQL生成以及數(shù)據(jù)連接查詢等。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞導(dǎo)致跨站腳本攻擊，提交特殊的請(qǐng)求，可以應(yīng)用程序上下文執(zhí)行任意命令等。

CNVD收錄的相關(guān)漏洞包括：Apache Superset跨站腳本漏洞（CNVD-2023-05220、CNVD-2023-05219、CNVD-2023-05218）、Apache Superset訪問(wèn)控制錯(cuò)誤漏洞（CNVD-2023-05217）、 Apache Airflow命令注入漏洞（CNVD-2023-05224）、Apache James信息泄露漏洞、Apache James授權(quán)問(wèn)題漏洞、Apache Calcite點(diǎn)擊劫持漏洞。其中“Apache Superset跨站請(qǐng)求偽造漏洞、 Apache Airflow命令注入漏洞（CNVD-2023-05224）”漏洞的綜合評(píng)級(jí)為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Mozilla產(chǎn)品安全漏洞

Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞能夠讀取和修改數(shù)據(jù)，繞過(guò)iframe沙箱并在任意窗口的上下文中執(zhí)行任意JavaScript代碼等。

CNVD收錄的相關(guān)漏洞包括：Mozilla Firefox安全特征問(wèn)題漏洞（CNVD-2023-05205、CNVD-2023-05206）、Mozilla Firefox信任管理問(wèn)題漏洞（CNVD-2023-05204）、Mozilla Firefox資源管理錯(cuò)誤漏洞（CNVD-2023-05208）、Mozilla Firefox代碼問(wèn)題漏洞（CNVD-2023-05207）、Mozilla Firefox權(quán)限許可和訪問(wèn)控制問(wèn)題漏洞（CNVD-2023-05212、CNVD-2023-05211）、Mozilla Firefox競(jìng)爭(zhēng)條件漏洞。其中，除“Mozilla Firefox代碼問(wèn)題漏洞（CNVD-2023-05207）”外其余漏洞的綜合評(píng)級(jí)為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Online Food Ordering System任意文件上傳漏洞（CNVD-2023-06523）

Online Food Ordering System是一個(gè)在線食品訂購(gòu)系統(tǒng)。上周，Online Food Ordering System被披露存在文件上傳漏洞。攻擊者可利用該漏洞上傳惡意文件從而遠(yuǎn)程執(zhí)行任意代碼。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

小結(jié)

上周，IBM產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼，從而改變預(yù)期的功能，導(dǎo)致可信會(huì)話中的憑證泄露，發(fā)送特制的SQL語(yǔ)句，查看、添加、修改或刪除后端數(shù)據(jù)庫(kù)中的信息等。此外，Adobe、Apache、Mozilla等多款產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞繞過(guò)ASLR等緩解措施，導(dǎo)致敏感內(nèi)存泄露，在當(dāng)前用戶的上下文中任意執(zhí)行代碼，讀取和修改數(shù)據(jù)，繞過(guò)iframe沙箱并在任意窗口的上下文中執(zhí)行任意JavaScript代碼等。另外，Online Food Ordering System被披露存在任意文件上傳漏洞。攻擊者可利用該漏洞上傳惡意文件從而遠(yuǎn)程執(zhí)行任意代碼。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè)，及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。

中國(guó)電子銀行網(wǎng)綜合CNVD、第一財(cái)經(jīng)、中國(guó)工商銀行客戶服務(wù)、民生銀行、上海銀行、鄭州銀行、貴陽(yáng)銀行、深圳農(nóng)商銀行報(bào)道

關(guān)鍵詞： 信息安全 修補(bǔ)程序