国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞447个，互联网上出现“Mediawiki输入验证错误漏洞（CNVD-2023-79688）、Diafan CMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

反诈手记 | “双十一”来袭，小心“蟹”逅陷阱！

收到不明快递时，不要随意扫码，或是添加陌生人好友，重点提醒家中长辈和孩童提高反诈意识，警惕不明快递类诈骗。>>详细

大侦探小发羊 | 5G冲浪“暗礁”多？广发银行守护银发族乘风破“浪”，稳稳地！

陌生网址藏“玄机”，不明链接不点击，网络购物需谨慎，扫码也常埋陷阱，反诈知识牢记于心，莫让骗子有可乘之机！>>详细

关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告

按照《商用密码检测机构管理办法》第三条有关规定，有意愿继续从事商用密码应用安全性评估业务的商用密码应用安全性评估试点机构，应当于2023年11月30日前提交商用密码检测机构资质申请。>>详细

2023金融科技安全与创新大会成功举办

大会围绕金融数据安全、数字基础设施建设、新一代人工智能技术应用等主题开展研讨。>>详细

【防范诈骗】 “12315”还有假？这是诈骗新套路！

近日，不少群众反映，遭遇了退款诈骗“新套路”。诈骗分子自称是“12315”维权平台的客服，以“维权”“退款”为由诱导目标对象上钩，最终造成群众资金损失。>>详细

反诈专栏 | 听说刷个单就能白赚几百？小心是电信诈骗！

不要轻信手机收到的陌生短信，不向陌生人转账，不随意下载陌生软件以防信息泄露或病毒攻击，切记贪图小利吃大亏！>>详细

安全课堂 | 擦亮双眼，识破“数字人民币刷单”新型骗局！

数字人民币是法定货币，与实物人民币等价。无论何时何地，遇到数字人民币获利、返现、参与“数字人民币交易所”等均为诈骗陷阱。>>详细

江苏银行：联合各地警方重拳打击非法代理维权 协助查处多起案件

截至2023年10月，江苏银行已经联合各地警方办理了18起非法代理维权案，其中刑事立案3起，行政拘留2人，公安训诫7人，违法行为人分布在广东、山东、江苏、浙江等多个地区，涉及多个非法代理维权机构。>>详细

【知识】反诈七大公式，快转给家人学习！

随着科技高速发展，诈骗手段也层出不穷，为切实保障您的财产安全，让我们共同提高识骗防骗能力，谨防上当受骗，江西·农商银行带您了解七大防诈骗公式。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年10月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞447个，其中高危漏洞187个、中危漏洞249个、低危漏洞11个。漏洞平均分值为6.42。上周收录的漏洞中，涉及0day漏洞387个（占87%），其中互联网上出现“Mediawiki输入验证错误漏洞（CNVD-2023-79688）、Diafan CMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM App Connect Enterprise是美国国际商业机器（IBM）公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合，提供一个可满足现代数字企业全面集成需求的平台。IBM Robotic Process Automation是美国国际商业机器（IBM）公司的一种机器人流程自动化产品。 IBM Integration Bus是美国IBM公司的一款企业服务总线（ESB）产品。该产品为面向服务架构（SOA）环境和非SOA环境提供连通性和通用数据转换。IBM Sterling Partner Engagement Manager是美国国际商业机器（IBM）公司的一个自动化管理工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从API日志中获取敏感信息，进行拒绝服务攻击，执行非法SQL命令获取数据库敏感数据。

CNVD收录的相关漏洞包括：IBM App Connect Enterprise信息泄露漏洞、IBM Robotic Process Automation信息泄露漏洞（CNVD-2023-79713）、IBM App Connect Enterprise and IBM Integration Bus拒绝服务漏洞、IBM Robotic Process Automation授权问题漏洞（CNVD-2023-79715）、IBM Robotic Process Automation安全绕过漏洞、IBM Robotic Process Automation访问控制错误漏洞（CNVD-2023-79718）、IBM Sterling Partner Engagement Manager拒绝服务漏洞、IBM Sterling Partner Engagement Manager SQL注入漏洞。其中，“IBM Robotic Process Automation访问控制错误漏洞（CNVD-2023-79718）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco DNA Center是美国思科（Cisco）公司的一个网络管理和命令中心服务。Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco Catalyst SD-WAN Manager是一款开放、安全的云级架构管理控制台。Cisco vManage是一个高度可定制的控制面板，可简化并自动执行Cisco SD-WAN部署、配置、管理与运营。Cisco Catalyst是美国思科（Cisco）公司的一系列交换机。Cisco Emergency Responder是美国思科（Cisco）公司的一款应急响应框架。Cisco Wireless LAN Controller（WLC）是美国思科（Cisco）公司的一款无线局域网控制器产品。该产品在无线局域网中提供安全策略、入侵检测等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，可读取和修改数据库数据，提升权限，读取、写入或删除底层操作系统上的任意文件，并将其权限升级为root等。

CNVD收录的相关漏洞包括：Cisco DNA Center API存在访问控制错误漏洞、Cisco Identity Services Engine授权问题漏洞（CNVD-2023-79690）、Cisco Catalyst SD-WAN Manager本地文件包含漏洞、Cisco Catalyst SD-WAN Manager未授权访问漏洞、Cisco Catalyst SD-WAN Manager授权绕过漏洞、Cisco Catalyst SD-WAN Manager HTML注入漏洞、Cisco Emergency Responder信任管理问题漏洞、Cisco Wireless LAN Controller缓冲区溢出漏洞。其中，“Cisco DNA Center API存在访问控制错误漏洞、Cisco Catalyst SD-WAN Manager未授权访问漏洞、Cisco Catalyst SD-WAN Manager授权绕过漏洞、Cisco Emergency Responder信任管理问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft Excel信息泄露漏洞（CNVD-2023-80108、CNVD-2023-80153）、Microsoft Excel代码执行漏洞（CNVD-2023-80109、CNVD-2023-80162、CNVD-2023-80163、CNVD-2023-80164、CNVD-2023-80165）、Microsoft Excel拒绝服务漏洞（CNVD-2023-80166）。其中，除“Microsoft Excel信息泄露漏洞（CNVD-2023-80108、CNVD-2023-80153）、Microsoft Excel拒绝服务漏洞（CNVD-2023-80166）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。Apache Jackrabbit是美国阿帕奇（Apache）公司的一个内容存储库。Apache Helix是美国阿帕奇（Apache）基金会的一个通用集群管理框架，用于自动管理托管在节点集群上的分区、复制和分布式资源。Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Linkis是美国阿帕奇（Apache）基金会的一个库。有助于轻松连接各种后端计算/存储引擎。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行授权绕过，使用代理的管理角色向任何话题生成消息，导致任意代码执行等。

CNVD收录的相关漏洞包括：Apache Airflow授权问题漏洞（CNVD-2023-80561）、Apache InLong数据伪造问题漏洞、Apache InLong代码问题漏洞、Apache Pulsar授权问题漏洞、Apache Jackrabbit代码执行漏洞、Apache Helix反序列化漏洞、Apache Tomcat开放重定向漏洞（CNVD-2023-80565）、Apache Linkis代码执行漏洞（CNVD-2023-80566）。其中，除“Apache Airflow授权问题漏洞（CNVD-2023-80561）、Apache InLong数据伪造问题漏洞、Apache Tomcat开放重定向漏洞（CNVD-2023-80565）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DedeBIZ代码执行漏洞

DedeBIZ是中国穆云智能科技（DedeBIZ）公司的一个内容管理系统。上周，DedeBIZ被披露存在代码执行漏洞。攻击者可利用该漏洞导致任意代码执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞从API日志中获取敏感信息，进行拒绝服务攻击，执行非法SQL命令获取数据库敏感数据。此外，Cisco、Microsoft、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，可读取和修改数据库数据，提升权限，读取、写入或删除底层操作系统上的任意文件，并将其权限升级为root等。另外，DedeBIZ被披露存在代码执行漏洞。攻击者可利用该漏洞导致任意代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家密码管理局、新华网、财富光大、广发银行、恒丰银行总行、北京银行微银行、河北银行、江西辖内农商银行微银行报道

责任编辑：韩希宇