国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞392个，互联网上出现“TryGhost express-hbs信息泄露漏洞、Tastylgniter跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

杭州银行与杭州市公安局、杭州师范大学签订“金融安全银警校共建”合作协议

9月23日上午，杭州银行、杭州市公安局、杭州师范大学共同举办“金融安全校警银共建”签约仪式暨“金融安全开学第一课”活动。>>详细

以案说险 | 教您防范电信网络诈骗之谨防“残疾补助”骗局

不法分子以发放补助金为由骗取残障人士信任，获取银行卡账号及密码等信息，进而转走账户内存款。消费者要提高警觉，不要轻易泄露个人信息，遇到相关问题要向专业机构咨询，谨防遭遇诈骗。>>详细

谨防“信用卡被盗刷”的正确姿势，您学会了吗？

北京银保监局指出，一旦信用卡被盗刷，三个措施要牢记：首先，及时冻结或挂失。发现信用卡被盗刷第一时间致电发卡银行官方客服电话,告知异常交易，及时冻结账户或挂失卡片。>>详细

安全知识 | 学习电子银行安全介质小知识，提升金融安全意识！

合理使用电子银行转账安全认证方式，即相当于给账户或资金上了锁。>>详细

CFCA云签盾：机型全覆盖、体验大升级、安全有保障

目前，云签盾入选北京金融科技创新监管试点第二批项目应用。中国工商银行、中国民生银行、浦发银行等多家机构已上线使用，用户反馈良好，市场反响热烈！>>详细

金融信息安全 | 个人信息安全有多重要？

下载安装App或在第三方办理业务时，留意相关授权权限，仔细阅读相关协议和合同条款，审慎填写个人信息，避免重要信息被过度搜集或非法使用。>>详细

持续关注不放松 涉案账户终被控

网点需认真落实开户审核责任，做好开户前尽职调查，对客户实际经营场所等信息进行现场核实，了解其真实开户目的和业务需求。>>详细

“剁手”旺季，无纸化这样帮助消金机构提速拓客！

CFCA整合运营商、银联、公安等数据源，提供基于证件信息、生物特征识别等多种验证交叉核验的方式，确保客户“人证合一”与“自愿”行为，规避假冒、伪造风险。>>详细

温州银行丨警惕！大学生容易在这里栽跟头...

树立科学消费观，不虚荣、不攀比、不炫耀；不轻信各类借贷广告，不被点滴利益和虚假承诺诱惑。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年9月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞392个，其中高危漏洞104个、中危漏洞239个、低危漏洞49个。漏洞平均分值为5.57。上周收录的漏洞中，涉及0day漏洞288个（占73%），其中互联网上出现“TryGhost express-hbs信息泄露漏洞、Tastylgniter跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Siemens产品安全漏洞

Siemens SINEC NMS是德国西门子（Siemens）公司的 一个网络管理系统 (NMS)。Siemens Teamcenter Active Workspace是一种用于访问Teamcenter系统的web应用程序。Simcenter STAR-CCM+是一个多物理计算流体动力学（CFD）软件。Siemens Teamcenter是一套产品生命周期管理计算机软件应用程序。RUGGEDCOM RX1400是一个多协议智能节点，将以太网交换、路由和应用程序托管功能与各种广域连接选项结合在一起。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从底层文件系统下载任意文件，获取敏感信息，绕过限制，获得root权限，执行代码等。

CNVD收录的相关漏洞包括：Siemens RUGGEDCOM ROX信息泄露漏洞、Siemens RUGGEDCOM ROX权限提升漏洞、Siemens SINEC NMS跨站请求伪造漏洞、Siemens SINEC NMS路径遍历漏洞、Siemens Teamcenter Active Workspace路径遍历漏洞、Siemens STAR-CCM+ Viewer越界写入漏洞、Siemens Teamcenter访问控制错误漏洞、Siemens Teamcenter代码问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress（Wordpress）基金会的一套使用PHP语言开发的博客平台。WordPress Easy Social Icons插件是WordPress开源的一个应用插件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行非法SQL语句，获取敏感信息，窃取用户Cookie凭据等。

CNVD收录的相关漏洞包括：WordPress跨站脚本漏洞（CNVD-2021-70735）、WordPress SQL注入漏洞（CNVD-2021-70739、CNVD-2021-70733、CNVD-2021-70738、CNVD-2021-70740）、WordPress underConstruction跨站脚本漏洞、WordPress Gutenberg Template Library&Redux Framework访问控制错误漏洞、WordPress Easy Social Icons跨站脚本漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在执行任意代码，控制受影响的系统，从而可安装程序，查看，更改或删除数据，或创建具有完全用户权限的新帐户等。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-71405、CNVD-2021-71406、CNVD-2021-71407、CNVD-2021-71408、CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414）。其中，“Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Financial Transaction Manager是美国IBM公司的一款金融事务管理器。IBM Planning Analytics是一款计划、预算、预测及分析解决方案。IBM AIX是一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM WebSphere Application Server（WAS）是由IBM遵照开放标准，例如Java EE、XML及Web Services，开发并发行的一种应用服务器。IBM Tivoli Workload Scheduler是一套企业任务调度软件。IBM API Connect是一种综合的端到端API生命周期解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行客户端代码，获取敏感信息和根特权，注入代码等。

CNVD收录的相关漏洞包括：IBM Financial Transaction Manager跨站脚本漏洞（CNVD-2021-71255）、IBM Planning Analytics信息泄露漏洞（CNVD-2021-71523、CNVD-2021-71522）、IBM AIX权限许可和访问控制问题漏洞（CNVD-2021-71526、CNVD-2021-71529）、IBM WebSphere Application Server权限提升漏洞（CNVD-2021-71530）、IBM Tivoli Workload Scheduler缓冲区溢出漏洞、IBM API Connect代码注入漏洞。其中，“IBM AIX权限许可和访问控制问题漏洞（CNVD-2021-71526、CNVD-2021-71529）、IBM API Connect代码注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla Rust内存破坏漏洞（CNVD-2021-71659）

Rust是Mozilla基金会的一款通用、编译型编程语言。上周，Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Siemens产品被披露存在多个漏洞，攻击者可利用漏洞从底层文件系统下载任意文件，获取敏感信息，绕过限制，获得root权限，执行代码等。此外，WordPress、Microsoft、IBM等多款产品被披露存在多个漏洞，攻击者可利用该漏洞执行任意代码，获取敏感信息和根特权，注入代码等。另外，Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经、中国邮政储蓄银行、民生银行手机银行、江西银行、杭州银行微讯、温州银行微银行报道

责任编辑：韩希宇