国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个,互联网上出现“Subrion CMS跨站脚本漏洞(CNVD-2023-23822)、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
(资料图片)
一周行业要闻速览
支付清算协会:已暴露出跨境数据泄露等风险,倡导支付从业者谨慎使用ChatGPT等工具
为有效应对风险、保护客户隐私、维护数据安全,提升支付清算行业的数据安全管理水平,中国支付清算协会向行业发出三条倡议。>>详细
【提醒】如何守住你的隐私?注意这些细节!
点击陌生链接很可能会泄露个人信息,黑客最常用的方式就是在链接中添加木马病毒。>>详细
情暖新市民,护好“钱袋子”,浦发银行在行动
如何切实提升社会公众金融素养,有效防范化解金融风险,理性选择适合自己的金融产品和服务,更好地满足“新市民”群体对美好生活的向往,金融要有担当,金融服务要跟上。>>详细
“智能建模”,引领反诈风险管理新航向
伴随着长行智能化、数字化转型的脚步,长沙银行现已成立账户风险管理智能建模项目组。>>详细
【以案说险】直播带货套路多,理性消费记心窝
随着网络的发达和直播行业的兴起,不少企业利用网络直播漏洞欺诈消费者,网络购物时,消费者应该擦亮眼睛,必要时要维护自己的合法权益。>>详细
【小We谈消保】非法集资新套路!不得都防一下啊!
不要轻易相信所谓的高息“保险”、高息“理财”,高收益意味着高风险,理性选择合法正规的投资渠道,自觉抵制各种诱惑,远离非法集资活动,是对我们钱袋子最大的保护。>>详细
【消保知识】电诈手法揭秘篇(一)
小AI总结了常见电诈手段,请广大消费者注意防范,切实维护自身合法权益。>>详细
北部湾银行南宁城北支行准确识别电信诈骗 守护群众“钱袋子”
近日,广西北部湾银行南宁市城北支行营业部准确识别电信诈骗,为客户避免经济损失十余万元。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年4月3日-9日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个,其中高危漏洞116个、中危漏洞157个、低危漏洞25个。漏洞平均分值为6.19。上周收录的漏洞中,涉及0day漏洞251个(占84%),其中互联网上出现“Subrion CMS跨站脚本漏洞(CNVD-2023-23822)、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,通过精心设计的HTML页面潜在地利用堆损坏。
CNVD收录的相关漏洞包括:Google Chrome ANGLE越界读取漏洞、Google Chrome ANGLE内存错误引用漏洞(CNVD-2023-23573)、Google Pixel bta_av_co.cc文件缓冲区溢出漏洞、Google Chrome越界访问漏洞、Google Pixel ble_scanner_hci_interface.cc文件缓冲区溢出漏洞、Google Chrome Web Payments API组件代码问题漏洞、Google Chrome Navigation组件代码问题漏洞、Google Android缓冲区溢出漏洞(CNVD-2023-25101)。其中“Google Chrome ANGLE越界读取漏洞、Google Chrome ANGLE内存错误引用漏洞(CNVD-2023-23573)、Google Chrome越界访问漏洞、Google Android缓冲区溢出漏洞(CNVD-2023-25101)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apache产品安全漏洞
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Kafka是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的API网关。Apache Commons FileUpload是美国阿帕奇(Apache)基金会的一个可将文件上传到Servlet和Web应用程序的软件包。Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财务数据等功能。Apache Archiva是美国阿帕奇(Apache)基金会的一套用于管理一个或多个远程存储的软件。该软件提供远程Repository代理、基于角色的安全访问管理和使用情况报告等功能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在受害者的系统上执行任意代码等。
CNVD收录的相关漏洞包括:Apache Dubbo代码问题漏洞(CNVD-2023-23551)、Apache Airflow信息泄露漏洞(CNVD-2023-23550)、Apache Kafka代码问题漏洞(CNVD-2023-23554)、Apache ShenYu授权问题漏洞(CNVD-2023-23553)、Apache Commons FileUpload拒绝服务漏洞(CNVD-2023-23552)、Apache NiFi XML外部实体注入漏洞(CNVD-2023-23555)、Apache Fineract SQL注入漏洞(CNVD-2023-23557)、Apache Archiva跨站脚本漏洞(CNVD-2023-23556)。其中,除“Apache Airflow信息泄露漏洞(CNVD-2023-23550)、Apache Fineract SQL注入漏洞(CNVD-2023-23557)、Apache Archiva跨站脚本漏洞(CNVD-2023-23556)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Foxit产品安全漏洞
Foxit PDF Editor是中国福昕(Foxit)公司的一款PDF编辑器。Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Foxit PDF Editor远程代码执行漏洞(CNVD-2023-23560、CNVD-2023-23563)、Foxit PDF Reader远程代码执行漏洞(CNVD-2023-23565、CNVD-2023-23566、CNVD-2023-23568、CNVD-2023-23567、CNVD-2023-23570、CNVD-2023-23569)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Delta Electronics产品安全漏洞
Delta Electronics InfraSuite Device Master是Delta Electronics的用于简化和自动化关键设备监控的设备。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取本地文件、公开明文凭据并升级权限,远程执行代码等。
CNVD收录的相关漏洞包括:Delta Electronics InfraSuite Device Master路径遍历漏洞(CNVD-2023-23884、CNVD-2023-23890)、Delta Electronics InfraSuite Device Master反序列化漏洞(CNVD-2023-23883、CNVD-2023-23887)、Delta Electronics InfraSuite Device Master认证错误漏洞、Delta Electronics InfraSuite Device Master身份验证错误漏洞、Delta Electronics InfraSuite Device Master命令注入漏洞、Delta Electronics InfraSuite Device Master访问控制错误漏洞(CNVD-2023-23889)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Home Owners Collection Management System文件上传漏洞
Home Owners Collection Management System是一个业主收款管理系统。上周,Home Owners Collection Management System被披露存在文件上传漏洞。攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,通过精心设计的HTML页面潜在地利用堆损坏。此外,Apache、Foxit、Delta Electronics等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在受害者的系统上执行任意代码等。另外,Home Owners Collection Management System被披露存在文件上传漏洞。攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、中国建设银行、遇见浦发、贵州银行、快乐长行人、广西北部湾银行微生活、微众银行、百信银行报道