国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞719个，互联网上出现“Froala WYSIWYG HTML Editor跨站脚本漏洞、GoodLayers LMS for Wordpress SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行上海分行冯攀：规管“有毒算法”，算法透明化也存隐忧

在数字经济时代，大数据及其算法成为了平台型公司与科技型公司的核心资产，算法本身也不是凭空取得的，是根据对行业的数据进行不断训练、优化而取得的。>>详细

金融科技大数据风控挑战：数据共享遭遇隐私保护

随着人工智能技术的持续推进，不少海外上市的金融科技平台正在研发隐私保护机器学习平台，支持拥有数据的各方在不传递原始数据的情况下，开展数据交换、特征处理、模型训练、评估等全流程合作建模。>>详细

一图看懂反洗钱业务之名单监控及管理

对于拥有较多跨境业务或境外分支机构较多的金融机构而言，制裁合规风险是自身经营面临的首要合规风险，而名单监控则是制裁合规管理的基础工作。>>详细

【安全课堂】筑牢手机防线，保障资金安全！

收到带有“官方”字样的短信提示“失效、到期、异常”或告知您中奖等内容时，务必保持冷静思考，切勿慌张。>>详细

中消协：扫码点餐或导致特殊人群成为支付安全问题受害者

近期，中国消费者协会收到消费者反映，到餐厅用餐时，有些餐厅不提供人工点餐，甚至不提供现场菜单，消费者只能关注公众号或小程序后进行“扫码点餐”。>>详细

网游App新困境：必要个人信息收集与防范未成年人沉迷如何平衡？

除了正视问题本身之外，监管机构应在给出原则性规定之后，做出具体实施细则的指导。立法机构应明确游戏领域哪些个人信息属于被保护的范畴，进一步细化网络游戏服务提供者的责任并监督落实，将有助于早日解决这一矛盾。>>详细

手机银行|开通云证通，大额转账安全又轻松

手机银行客户使用手机可实现证书的存储及认证，不需要携带额外的物理设备或介质，即可完成大额转账交易。>>详细

【安全】此类冒用银行名义的虚假营销，别信

近期，一些诈骗分子冒用银行名义，发布虚假营销活动宣传， 打着“人人有福利，超多礼品免费领回家”的幌子，诱导公众通过附带的虚假二维码下载所谓的“手机银行”，谎称参与连续签到活动可领取精彩好礼。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年3月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞719个，其中高危漏洞166个、中危漏洞249个、低危漏洞304个。漏洞平均分值为4.77。上周收录的漏洞中，涉及0day漏洞507个（占71%），其中互联网上出现“Froala WYSIWYG HTML Editor跨站脚本漏洞、GoodLayers LMS for Wordpress SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Android MediaFramework远程代码执行漏洞（CNVD-2021-19751）、Google Android拒绝服务漏洞（CNVD-2021-19752）、Google Android Media Framework权限提升漏洞（CNVD-2021-19750）、Google Android Framework权限提升漏洞（CNVD-2021-19754、CNVD-2021-19753、CNVD-2021-19757、CNVD-2021-19756、CNVD-2021-19755）。其中，除 “Google Android拒绝服务漏洞（CNVD-2021-19752）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Schneider Electric产品安全漏洞

Schneider Electric Easergy T300是法国施耐德电气（Schneider Electric）公司的一款用于电力行业的远程终端单元。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Schneider Electric EasergyT300访问控制不当漏洞（CNVD-2021-19765）、Schneider Electric Easergy T300输入验证错误漏洞、Schneider Electric Easergy T300跨站请求伪造漏洞、Schneider Electric Easergy T300资源管理错误漏洞、Schneider Electric Easergy T300加密问题漏洞、Schneider Electric Easergy T300信息泄露漏洞（CNVD-2021-21474、CNVD-2021-21481、CNVD-2021-21478）。其中“Schneider Electric EasergyT300访问控制不当漏洞（CNVD-2021-19765）”的综合评级为“高危”目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS XE是美国Cisco公司为其网络设备开发的一套基于Linux内核的模块化操作系统。Cisco Catalyst 9000是一个交换机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取管理员权限，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco IOS XE OS命令注入漏洞、Cisco IOS XE拒绝服务漏洞（CNVD-2021-22166、CNVD-2021-22190）、Cisco IOS XE缓冲区溢出漏洞、Cisco IOS XE任意代码执行漏洞（CNVD-2021-22189）、Cisco IOS XE权限提升漏洞（CNVD-2021-22457）、Cisco IOS XE IOx命令注入漏洞、Cisco Catalyst 9000拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Palo Alto Networks产品安全漏洞

Palo Alto Networks GlobalProtect是美国Palo Alto Networks公司的一套网络防护软件。该软件可提供防火墙监控及威胁预防等功能。Palo Alto Networks PAN-OS是一套为其防火墙设备开发的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问受保护的资源、执行任意OS命令、导致缓冲区溢出等。

CNVD收录的相关漏洞包括：Palo Alto Networks PAN-OS数据伪造问题漏洞、Palo Alto Networks PAN-OS OS命令注入漏洞（CNVD-2021-22171、CNVD-2021-22172）、Palo Alto Networks PAN-OS缓冲区溢出漏洞（CNVD-2021-22178、CNVD-2021-22169）、Palo Alto Networks PAN-OS操作系统命令注入漏洞（CNVD-2021-22180、CNVD-2021-22179）、Palo Alto Networks GlobalProtect竞争条件问题漏洞。其中，除 “Palo Alto Networks GlobalProtect竞争条件问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Bitweaver跨站脚本漏洞（CNVD-2021-22579）

Bitweaver是一款免费、开源Web应用程序框架和内容管理系统。上周，Bitweaver被披露存在跨站脚本漏洞。远程攻击者可通过/users/admin/index.php URI利用该漏洞注入JavaScript。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，导致拒绝服务等。此外，Schneider Electric、Cisco、Palo Alto Networks等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问受保护的资源，访问敏感信息，获取管理员权限，执行任意代码，导致拒绝服务和缓冲区溢出等。另外，Bitweaver被披露存在跨站脚本漏洞。远程攻击者可通过/users/admin/index.php URI利用该漏洞注入JavaScript。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、第一财经、工行电子银行、I生活T精彩、北京银行、广西北部湾银行、中消协报道

责任编辑：韩希宇