国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞375个，互联网上出现“GetSimpleCMS跨站脚本漏洞、livehelperchat跨站脚本漏洞（CNVD-2023-86325）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

电信诈骗套路深，日常防范要走心

下载登录云闪付APP，APP内搜索“一键查卡”提供银行卡数量、每张卡的银行名称等查询。>>详细

【金融消保技能提升月】电信诈骗套路深，学习知识好防身

近年来，电信网络诈骗高发，骗子花样也在不断翻新，即使花样再变，学会以下公式，眼“看穿” 他们！>>详细

衡水银行深入开展“2023年金融消费者权益保护教育宣传月”活动

做好消费者权益保护工作，既是商业银行义不容辞的天职和本分，也是提升自身经营发展水平的客观要求。>>详细

消保小课堂丨电信诈骗风险提示

不要相信不切实际的投资回报，更不能轻易将资金交由他人代理操作投资，防止上当受骗。如有投资需求，应当选择正规、合法的投资渠道。>>详细

【金融知识进乡村】识别乡村常见非法集资骗局

一些不法机构以“三农”为噱头，存在非法集资、金融诈骗等风险隐患。>>详细

企业服务｜云证通——企业手机银行即需即用贴心服务钥匙

“云证通”是一款通过云端下载的数字证书，用手机即可完成证书的存储和认证，大大提升了手机银行的安全性。>>详细

蒙银“心”驿站带您学消保 | 注意！非法集资套路又“翻新”

新型的模式和手段仍然在不断出现，更加复杂，更加具有迷惑性，需要引起社会重视。>>详细

年末网购防骗指南请收好，教你放心买买买

双十一购物节刚刚过去，双十二马上又要来临，大家在开心“买买买”之余，也要注意提高警惕，以免落入诈骗分子设计的圈套。小燕特别整理了一份“年末购物防骗指南”，帮助大家轻松识破常见网购诈骗套路。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年11月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞375个，其中高危漏洞140个、中危漏洞212个、低危漏洞23个。漏洞平均分值为6.27。上周收录的漏洞中，涉及0day漏洞301个（占80%），其中互联网上出现“GetSimpleCMS跨站脚本漏洞、livehelperchat跨站脚本漏洞（CNVD-2023-86325）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Dynamics 365是美国微软（Microsoft）公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。Microsoft Office Visio是美国微软（Microsoft）公司的Office软件系列中的负责绘制流程图和示意图的软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Dynamics 365 (On-Premises)信息泄露漏洞（CNVD-2023-85889）、Microsoft Office Visio远程代码执行漏洞（CNVD-2023-85900、CNVD-2023-85901、CNVD-2023-85902、CNVD-2023-85904、CNVD-2023-85905、CNVD-2023-85906）、Microsoft Office Visio信息泄露漏洞。其中，除“Microsoft Dynamics 365 (On-Premises)信息泄露漏洞（CNVD-2023-85889）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。Cisco Secure Network Analytics (Stealthwatch) 是支持跨平台的网络流数据收集的解決方案。Cisco Small Business Series Switches是美国思科（Cisco）公司的交换机产品。Cisco IOS XE Software是美国思科（Cisco）公司的一个操作系统。用于企业有线和无线访问，汇聚，核心和WAN的单一操作系统，Cisco IOS XE降低了业务和网络的复杂性。Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。Cisco Nexus Dashboard是美国思科（Cisco）公司的一个单一控制台。能够简化数据中心网络的运营和管理。Cisco Finesse是美国思科（Cisco）公司的一套呼叫中心管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在受影响的设备上执行代码，造成拒绝服务。

CNVD收录的相关漏洞包括：Cisco Firepower Management Center跨站脚本漏洞（CNVD-2023-85951、CNVD-2023-85950、CNVD-2023-85952）、Cisco Secure Network Analytics远程代码执行漏洞（CNVD-2023-85955）、Cisco Small Business Series Switches堆缓冲区溢出漏洞、Cisco IOS XE存在命令注入漏洞、Cisco Nexus Dashboard拒绝服务漏洞、Cisco Finesse拒绝服务漏洞。其中，除“Cisco Firepower Management Center跨站脚本漏洞（CNVD-2023-85951、CNVD-2023-85950、CNVD-2023-85952）”外，其余的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致系统拒绝服务等。

CNVD收录的相关漏洞包括：Apache Airflow信息泄露漏洞（CNVD-2023-85609、CNVD-2023-85611、CNVD-2023-85610、CNVD-2023-85612、CNVD-2023-85617）、Apache Airflow代码执行漏洞（CNVD-2023-85614、CNVD-2023-85613）、Apache Airflow代码问题漏洞（CNVD-2023-85615）。其中，“Apache Airflow代码执行漏洞（CNVD-2023-85614、CNVD-2023-85613）、Apache Airflow代码问题漏洞（CNVD-2023-85615）、Apache Airflow信息泄露漏洞（CNVD-2023-85617）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SIMATIC PCS neo是一种分布式控制系统（DCS）。COMOS是一个用于协同工厂设计、运营和管理的统一数据平台，支持在整个工厂生命周期内收集、处理、保存和分发信息。Mendix是一个高生产力的应用程序平台，能够大规模构建和持续改进移动和web应用程序。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224是工业路由器。SCALANCE W产品是用于连接工业组件的无线通信设备，如可编程逻辑控制器（PLC）或人机界面（HMI），符合IEEE 802.11标准（802.11ac、802.11a/b/g/h 和/或 802.11n）。SCALANCE W-1700产品是基于IEEE 802.11ac标准的无线通信设备。它们用于连接各种WLAN设备（接入点或客户端，取决于操作模式），重点关注工业组件，如可编程逻辑控制器（PLC）或人机界面（HMI）等。SCALANCE X交换机用于连接可编程逻辑控制器（PLC）或人机界面（HMI）等工业组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在基础数据库中执行SQL语句，提升权限，执行任意代码或造成拒绝服务等。

CNVD收录的相关漏洞包括：Siemens SIMATIC PCS neo跨站脚本漏洞、Siemens COMOS访问控制错误漏洞（CNVD-2023-86339）、Siemens SIMATIC PCS neo身份验证错误漏洞、Siemens SIMATIC PCS neo SQL注入漏洞、Siemens Mendix认证绕过漏洞、Siemens COMOS缓冲区溢出漏洞（CNVD-2023-86341）、Siemens COMOS访问控制错误漏洞、多款Siemens产品输入验证错误漏洞（CNVD-2023-86591）。其中，“Siemens COMOS访问控制错误漏洞（CNVD-2023-86339）、Siemens COMOS缓冲区溢出漏洞（CNVD-2023-86341）、Siemens COMOS访问控制错误漏洞、多款Siemens产品输入验证错误漏洞（CNVD-2023-86591）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IceCMS跨站请求伪造漏洞

IceCMS是一个基于Spring Boot + Vue前后端分离的内容管理系统。上周，IceCMS被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码。此外，Cisco、Apache、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞在基础数据库中执行SQL语句，获取敏感信息，提升权限，执行任意代码或造成拒绝服务等。另外，IceCMS被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、浦发银行信用卡、渤海银行、衡水银行、内蒙古银行、蒙商银行、桂林银行金融服务、江西银行、常熟农商银行报道

责任编辑：韩希宇