国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞603个，互联网上出现“Tenda M3命令注入漏洞（CNVD-2022-33113）、MariaDB item_subselect.cc拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

防欺诈小课堂，谨防银行卡POS机诈骗

随着大众对银行卡使用频率的不断提高，POS机逐渐成为刷卡支付的必备工具之一。不少不法分子也开始盯上了POS机市场上存在的一些安全隐患，用各种手段获取非法收益。>>详细

【必看】以案说险，警惕以“疫”之名的骗局

中国光大银行整理了一些借疫情防控名义诈骗的手段，教你快速识别这些小伎俩。>>详细

【提示】跨境赌博严打击，“十赌九输”勿入坑

不明电话及时挂，可疑短信要辨清。不明链接不点击，卡号密码得保密。>>详细

科普 | 全民反诈，谨防被骗

不要轻信网络上“高佣金先垫付”等兼职工作,不要轻信没有留固定电话和办公地址的招聘广告。>>详细

疫情期间“人盾分离”怎么破？一张“云证书”打通企业财务全流程 ！

目前，多数银行针对“人盾分离”的问题建立了应急方案，比如视频连线核实真实财务需求等，有些银行也会同意企业延期还贷的请求。>>详细

揭开诈骗“新衣” 谨防借“疫”发财

交通银行信用卡专家梳理当下新型涉疫诈骗手法，解析诈骗套路，提醒消费者提高防范意识，避免钱财损失。>>详细

密评备案监管升级 网络运营方该怎么做？

商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。>>详细

警惕以虚拟货币为噱头的骗局

广大消费者要增强风险意识，树立正确的投 资理念，不参与虚拟货币交易炒作活动，谨防个人财产及权益受损。>>详细

【防范】警惕“校园贷”网络诈骗

诈骗分子以“确认本人操作”，完成“资金核查”为由，要求受害者尽可能多地从其他APP借贷并转账到指定的“认证账户”，造成受害者巨额损失。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年4月25日-5月8日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞603个，其中高危漏洞189个、中危漏洞345个、低危漏洞69个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞412个（占68%），其中互联网上出现“Tenda M3命令注入漏洞（CNVD-2022-33113）、MariaDB item_subselect.cc拒绝服务漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，任意修改和设置系统属性，升级权限等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-32839、CNVD-2022-32843、CNVD-2022-32842、CNVD-2022-32844、CNVD-2022-34649）、Google Android信息泄露漏洞（CNVD-2022-32846）、Google Android安全绕过漏洞（CNVD-2022-32845）、Google Android TBD权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过多种协议进行网络访问，从而破坏MySQL Server，导致MySQL Server挂起或频繁崩溃（拒绝服务）等。

CNVD收录的相关漏洞包括：Oracle Fusion Middleware和Oracle WebLogic Server输入验证错误漏洞（CNVD-2022-33111）、Oracle MySQL输入验证错误漏洞（CNVD-2022-33780、CNVD-2022-33779）、Oracle MySQL Server拒绝服务漏洞（CNVD-2022-33991、CNVD-2022-33990、CNVD-2022-33992、CNVD-2022-33996、CNVD-2022-33995）。其中，“Oracle Fusion Middleware和Oracle WebLogic Server输入验证错误漏洞（CNVD-2022-33111）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP 3D Visual Enterprise Viewer是德国思爱普（SAP）公司的一款3D视图查看器。该软件支持在所有行业标准的桌面应用中发布2D、3D场景，并支持以独立可执行程序和ActiveX空间单独安装。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致应用程序崩溃等。

CNVD收录的相关漏洞包括：SAP 3D Visual Enterprise Viewer输入验证错误漏洞（CNVD-2022-33129、CNVD-2022-33128、CNVD-2022-33127、CNVD-2022-33126、CNVD-2022-33132、CNVD-2022-33131、CNVD-2022-33130）、SAP 3D Visual Enterprise Viewer越界写入漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell PowerScale OneFS是提供横向扩展NAS的PowerScale OneFS操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得提升的权限，导致拒绝服务等。

CNVD收录的相关漏洞包括：Dell PowerScale OneFS安全绕过漏洞（CNVD-2022-32806、CNVD-2022-32807）、Dell PowerScale OneFS拒绝服务漏洞（CNVD-2022-32805、CNVD-2022-32824、CNVD-2022-32826）、Dell PowerScale OneFS信息泄露漏洞（CNVD-2022-32834、CNVD-2022-32833）、Dell PowerScale OneFS权限提升漏洞（CNVD-2022-32838）。其中，“Dell PowerScale OneFS安全绕过漏洞（CNVD-2022-32806、CNVD-2022-32807）、Dell PowerScale OneFS权限提升漏洞（CNVD-2022-32838）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM QRadar SIEM信息泄露漏洞（CNVD-2022-34982）

IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。上周，IBM QRadar SIEM被披露存在信息泄露漏洞。攻击者可利用该漏洞获取日志文件。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，任意修改和设置系统属性，升级权限等。此外，Oracle、SAP、Dell等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得提升的权限，导致应用程序崩溃等。另外，IBM QRadar SIEM披露存在信息泄露漏洞，攻击者可利用该漏洞获取日志文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行广州分行、中国农业银行微银行、交通银行、中国光大银行、抚顺银行、广州农村商业银行报道

责任编辑：韩希宇