国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞330个，互联网上出现“POSCMS跨站脚本漏洞、GreenCMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

电信诈骗非小事 火眼金睛识破绽——中信银行北京分行用实际行动做好金融反诈“守门员”

中信银行北京分行运营条线始终把业务的合规性和安全性放在首位，深入践行打击违法犯罪做好安全防范工作。>>详细

元宇宙诈骗、套路贷、人伤黄牛、假理财真非吸，开年来六地监管局持续提示金融风险

对于金融消费者而言，防风险永远比高收益更重要。>>详细

【防范于心 反诈于行】小郑说反诈：警惕！电信网络诈骗新套路

牢记“三不一多”原则：未知链接不点击；个人信息不透露；陌生来电不轻信；转账汇款多核实。>>详细

【以案说险】反诈进行时！“开学防诈骗指南”请收好！

平时要多留意防骗知识的更新积累，提高孩子及自身的反诈能力，不要让骗子有可乘之机！>>详细

普及金融知识—防范冒用金融监管名义实施诈骗

近期，有不法分子冒充金融监管部门或者工作人员，打着“P2P清退回款”“消除不良征信”“受理投诉” 等旗号实施诈骗。丹东银行提醒广大金融消费者提高警惕，增强反诈意识和识别能力，保护好个人信息和财产安全。>>详细

只要“刷刷流水”？都是骗局！

贷款要通过正规渠道，非官方平台，多是骗局，所谓的“刷流水”更是洗钱套路不可信。>>详细

金教基地 | 防范信用卡套现骗局

近年来，信用卡业务发展较快，在 促进居民消费、方便居民生活方面发挥了积极作用，但也会被一些不法分子利用，通过以“信用卡套现”为诱饵实施诈骗从中牟利，从而带来严重后果，切记不要贪图小利，拒绝信用卡套现。>>详细

安全|磁条卡换芯片卡，有“芯”更安全

芯片如微型电脑可记录卡号、密钥、证书等信息，有读写保护机制，对数据加密。>>详细

防诈|请注意防范“货到付款”骗局

“货到付款”在网购中指的是由快递公司代收卖家货款，货先送到客户手上，客户验货了以后再把钱给快递员，然后货款再转到卖家账户里去。所以“货到付款”需要付的并不是运费，而是商品本身的钱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年2月19日-25日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞330个，其中高危漏洞121个、中危漏洞185个、低危漏洞24个。漏洞平均分值为6.19。上周收录的漏洞中，涉及0day漏洞203个（占62%），其中互联网上出现“POSCMS跨站脚本漏洞、GreenCMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe Framemaker是美国奥多比（Adobe）公司的一套用于编写和编辑大型或复杂文档（包括结构化文档）的页面排版软件。Adobe Photoshop是一个由Adobe开发和发行的应用软件，用于图像处理。Adobe Animate是由Adobe公司开发的多媒体创作和电脑动画程序，可用于设计矢量图形和动画。Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致安全功能绕过，提交特殊的请求，可在应用程序上下文执行任意代码等。

CNVD收录的相关漏洞包括：Adobe ColdFusion反序列化漏洞（CNVD-2024-09606、CNVD-2024-09607）、Adobe ColdFusion反序列化代码执行漏洞、Adobe FrameMaker身份验证错误漏洞、Adobe Photoshop缓冲区溢出漏洞（CNVD-2024-09611）、Adobe Animate缓冲区溢出漏洞（CNVD-2024-09610）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-09898、CNVD-2024-09899）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Fortinet产品安全漏洞

Fortinet FortiADC是美国飞塔（Fortinet）公司的一款应用交付控制器。Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiIsolator是美国飞塔（Fortinet）公司的一个为浏览器提供远程安全隔离功能的应用。该应用为Fortinet Security Fabric添加了额外的高级威胁防护功能，并保护关键业务数据免受网络上复杂威胁的侵害。来自Web的内容和文件在远程容器中访问，然后将无风险的内容呈现给用户。Fortinet FortiSandbox是美国飞塔（Fortinet）公司的一款APT（高级持续性威胁）防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。Fortinet FortiNAC是美国飞塔（Fortinet）公司的一套网络访问控制解决方案。该产品主要用于网络访问控制和物联网安全防护。Fortinet FortiWeb是美国飞塔（Fortinet）公司的一款Web应用层防火墙，它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTTP或HTTPS请求提升权限，提交特殊的请求，可在应用程序上下文执行任意os命令等。

CNVD收录的相关漏洞包括：Fortinet FortiADC授权问题漏洞（CNVD-2024-09277）、Fortinet FortiOS and FortiProxy授权问题漏洞、Fortinet FortiIsolator命令执行漏洞、Fortinet FortiSandbox跨站脚本漏洞（CNVD-2024-09278）、Fortinet FortiNAC权限提升漏洞（CNVD-2024-09283）、Fortinet FortiOS授权问题漏洞（CNVD-2024-09281）、Fortinet FortiWeb命令注入漏洞（CNVD-2024-09285）、Fortinet FortiNAC命令注入漏洞（CNVD-2024-09284）。其中，除“Fortinet FortiIsolator命令执行漏洞、Fortinet FortiSandbox跨站脚本漏洞（CNVD-2024-09278）、Fortinet FortiNAC权限提升漏洞（CNVD-2024-09283）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SINEC NMS是面向数字化企业的新一代网络管理系统(NMS)。Tecnomatix Plant Simulation可对物流系统及其流程进行建模、模拟、探索和优化。这些模型可以在生产执行之前对从全球生产设施到当地工厂和特定生产线的所有制造计划进行物料流、资源利用和物流分析。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在服务器数据库上执行任意SQL查询，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens SINEC NMS任意文件上传漏洞、Siemens SINEC NMS SQL注入漏洞（CNVD-2024-09309）、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2024-09320）、Siemens Tecnomatix Plant Simulation越界读取漏洞（CNVD-2024-09321）、Siemens Tecnomatix Plant Simulation缓冲区溢出漏洞（CNVD-2024-09319、CNVD-2024-09327、CNVD-2024-09326、CNVD-2024-09325）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell Unity是一款统一的混合存储阵列，适用于本地和云中的通用工作负载。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root权限执行命令。

CNVD收录的相关漏洞包括：Dell Unity命令注入漏洞（CNVD-2024-09151、CNVD-2024-09154、CNVD-2024-09153、CNVD-2024-09152、CNVD-2024-09157、CNVD-2024-09156、CNVD-2024-09155、CNVD-2024-09160）。目前，厂商已经发布了上述漏洞的修补程序。

openBI反序列化漏洞

openBI是openBI公司的一个大数据可视化解决方案。上周，openBI被披露存在反序列化漏洞。攻击者可利用此漏洞导致代码执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞导致安全功能绕过，提交特殊的请求，可以应用程序上下文执行任意代码等。此外，Fortinet、Siemens、Dell等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTTP或HTTPS请求提升权限，提交特殊的请求，可在应用程序上下文执行任意os命令等。另外，openBI被披露存在反序列化漏洞。攻击者可利用此漏洞导致代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、财联社、丹东银行、微青银、晋商银行、郑州银行微银行、贵州银行、广东农信报道

责任编辑：韩希宇