国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞370个，互联网上出现“Bludit跨站脚本漏洞（CNVD-2023-43230）、nopCommerce访问控制错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

从招聘流程再造到数据出境安全评估 金融机构“备战”个人信息合规操作

若通过猎头或内推渠道收集应聘者个人信息，银行还需先与猎头/内推人签订数据共享协议。>>详细

金融知识万里行｜适老金融有温度 守护“银龄族”幸福晚年

适老金融有温度，农情服务，天天进步。>>详细

新市民如何保护个人信息 牢记这“四个不”

不将身份证、银行卡、网银U盾、手机等重要物品外借给他人。>>详细

【消保】争做金融卫士，反假知识伴您同行

如果误收假币，不应该再继续使用，应该立即上缴当地银行或公安机关；当看到别人持有假币时，也应劝其上缴或向公安机关报告。>>详细

金融知识需提高 勿信“好事”找上门

“帮信”行为还有可能涉嫌妨害信用卡管理罪、买卖国家机关证件罪和掩饰、隐瞒犯罪所得罪，甚至构成诈骗罪，可能给个人带来牢狱之灾，请您切勿贪图小利，以身试法。>>详细

【小河讲反洗钱】警惕！AI换脸冒充朋友10分钟骗走430万元

对突如其来的电话保持警惕，即使是来自你认识的人，因为来电显示的号码可能是伪造的。>>详细

【警惕】以案说险之大学毕业入职场 小额贷款莫上当

牢记“三不一多”：未知链接不点击、陌生来电不轻信、个人信息不透露、转账汇款多核实。>>详细

苏州银行开展“萌警说反诈”金融安全宣传活动

苏州银行联合苏州市公安局新闻宣传中心、苏州市反通信网络诈骗中心、苏州工业园区公安分局开展了线上+线下系列“萌警说反诈”金融安全宣传活动。>>详细

金教基地 | 警惕！非法集资陷阱

为了保护您和家人的钱袋子，今天晋商银行为大家带来防范非法集资的金融小常识，了解什么是非法集资?如何防范非法集资?防范风险于未然。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年5月29日-6月4日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞370个，其中高危漏洞163个、中危漏洞164个、低危漏洞43个。漏洞平均分值为6.45。上周收录的漏洞中，涉及0day漏洞278个（占75%），其中互联网上出现“Bludit跨站脚本漏洞（CNVD-2023-43230）、nopCommerce访问控制错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏，获得提升的权限。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-41877、CNVD-2023-41878、CNVD-2023-41879、CNVD-2023-41881、CNVD-2023-41886）、Google Chrome Autofill UI内存错误引用漏洞、Google Chrome Guest View内存错误引用漏洞、Google Chrome DevTools内存错误引用漏洞（CNVD-2023-43874）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cognos Analytics是美国国际商业机器（IBM）公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。IBM InfoSphere Information Server是一款领先的集成平台，其服务产品可帮助您理解、清理、监控、转换和交付数据。IBM Spectrum Protect Plus是美国国际商业机器（IBM）公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Security Verify Access（ISAM）是美国国际商业机器（IBM）公司的一款提高用户访问安全的服务。IBM Planning Analytics是美国国际商业机器（IBM）公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取凭证，在Web UI中嵌入任意JavaScript代码，从而导致凭据泄露，执行任意代码，获取主机权限等。

CNVD收录的相关漏洞包括：IBM Cognos Analytics跨站脚本漏洞（CNVD-2023-41887）、IBM InfoSphere Information Server信息泄露漏洞（CNVD-2023-41891）、IBM InfoSphere Information Server跨站脚本漏洞（CNVD-2023-41890）、IBM InfoSphere Information Server SQL注入漏洞（CNVD-2023-41889）、IBM InfoSphere Information Server代码执行漏洞、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2023-41895）、IBM Security Verify Access输入验证错误漏洞（CNVD-2023-41894）、IBM Planning Analytics跨站脚本漏洞（CNVD-2023-41893）。其中，“IBM InfoSphere Information Server代码执行漏洞、IBM Security Verify Access输入验证错误漏洞（CNVD-2023-41894）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞删除、编辑、停止和启动他人的源，在系统上执行任意代码，提升权限等。

CNVD收录的相关漏洞包括：Apache InLong安全绕过漏洞（CNVD-2023-42958、CNVD-2023-42959、CNVD-2023-42962、CNVD-2023-42961）、Apache InLong权限提升漏洞、Apache InLong安全绕过漏洞、Apache InLong代码执行漏洞、Apache InLong授权问题漏洞。上述漏洞的综合评级为 “高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内存泄露，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Substance 3D Stager输入验证错误漏洞、Adobe Substance 3D Stager越界读取漏洞（CNVD-2023-41873、CNVD-2023-41872、CNVD-2023-41875、CNVD-2023-41874）、Adobe Substance 3D Stager资源管理错误漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager缓冲区溢出漏洞（CNVD-2023-41876）。其中，“Adobe Substance 3D Stager输入验证错误漏洞、Adobe Substance 3D Stager资源管理错误漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager缓冲区溢出漏洞（CNVD-2023-41876）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内存泄露，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Substance 3D Stager输入验证错误漏洞、Adobe Substance 3D Stager越界读取漏洞（CNVD-2023-41873、CNVD-2023-41872、CNVD-2023-41875、CNVD-2023-41874）、Adobe Substance 3D Stager资源管理错误漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager缓冲区溢出漏洞（CNVD-2023-41876）。其中，“Adobe Substance 3D Stager输入验证错误漏洞、Adobe Substance 3D Stager资源管理错误漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager缓冲区溢出漏洞（CNVD-2023-41876）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏，获得提升的权限。此外，IBM、Apache、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取凭证，在Web UI中嵌入任意JavaScript代码，从而导致凭据泄露，执行任意代码，获取主机权限等。另外，Tenda AC15被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码，或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国农业银行、交通银行、中国光大银行、中国民生银行、河北银行、南京银行、晋商银行、苏银微动态报道

责任编辑：韩希宇