国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞558个，互联网上出现“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

【资料图】

一周行业要闻速览

隐私保护、数据安全、智能风控日益受到关注，业内专家认为：数字化转型需守好金融安全底线

业内也将数字技术的发展触角更多地延伸至科技伦理、隐私保护、数据安全、智能风控等与金融安全紧密相关的领域，以有效应对金融机构在数字化转型过程中的安全“痛点”。>>详细

【警惕】反诈安全小课堂第三期—非法买卖银行卡

小豆在此提醒大家，妥善保管好自己的身份证、银行卡、网银盾等账户存取工具，对于废弃不用的银行卡，应及时办理销户业务，并将卡片磁条毁损，不随意丢弃。>>详细

【警惕】南京银行防范“电信网络诈骗”温馨提示

南京银行汇总常见诈骗手法及案例，希望能增强大家对电信网络诈骗、跨境赌博的防范意识。>>详细

兴业银行北京分行召开2022年上半年消费者权益保护工作会议

持续强化消保理念和能力提升，通过定期消保培训提升全员消保服务能力，通过常态化创新金融宣传提升消费者金融素养。>>详细

眨眨眼、动动手，“小而美”的手机银行如此兼顾体验与安全

张家港农商银行与中国金融认证中心（CFCA）合作，为手机银行客户端引入CFCA“FIDO+数字证书”移动端认证解决方案，方案融合了数字证书、生物识别、移动端可信安全环境技术。>>详细

【消保】速看！浦发银行教您避坑“非法金融活动”

了解金融基本知识，掌握常见非法金融类型及识别方法以及遭遇非法金融活动的救济途径，提高自身识别非法金融活动的能力。>>详细

半数企业面临数据泄露风险 “网站神盾”SSL证书了解一下！

CFCA 服务器证书帮助网站实现身份认证与反钓鱼，在客户端与服务端之间建立一条安全的加密通道，对传输的数据进行加密，保证数据在传输过程中的完整性和保密性，有效防止数据泄露及篡改。>>详细

【知识】诈骗电话花样多，陌生电话不轻信！

任何陌生人来电，但凡提出了添加微信、扫描二维码、提供验证码、汇款的要求，基本能判定是骗局! >>详细

安全威胁播报

上周漏洞基本情况

上周（2022年8月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞558个，其中高危漏洞163个、中危漏洞298个、低危漏洞97个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞317个（占57%），其中互联网上出现“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Azure Site Recovery是美国微软（Microsoft）公司的一种站点恢复（DRaaS），用于云和混合云架构。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞在系统上获得提升的权限。

CNVD收录的相关漏洞包括：Microsoft Azure Site Recovery权限提升漏洞（CNVD-2022-57194、CNVD-2022-57193、CNVD-2022-57197、CNVD-2022-57196、CNVD-2022-57195、CNVD-2022-57201、CNVD-2022-57200、CNVD-2022-57199）。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP NetWeaver Enterprise Portal是一个SAP NetWeaver的Web前端组件。SAP SuccessFactors是德国思爱普（SAP）公司的一个基于云的Hcm软件应用程序。SAP Business One是德国思爱普（SAP）公司的一套企业管理软件。该软件包括财务管理、运营管理和人力资源管理等功能。SAP BusinessObjects BW Publisher Service是德国SAP公司的一种模型驱动数据仓库产品。SAP Business Objects是德国SAP公司的一个商业智能套件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得敏感信息、查看或修改信息、提升权限、执行拒绝服务攻击，使系统暂时无法运行等。

CNVD收录的相关漏洞包括：SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2022-56942、CNVD-2022-56941）、SAP SuccessFactors权限提升漏洞、SAP Business One拒绝服务漏洞、SAP Business One代码注入漏洞（CNVD-2022-56957）、SAP BusinessObjects BW Publisher Service权限提升漏洞、SAP BusinessObjects Business Intelligence Platform SQL注入漏洞、SAP Business One信息泄露漏洞（CNVD-2022-56961）。其中，“SAP SuccessFactors权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM CICS TX Advanced是美国IBM公司的一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和 IT 流程。IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Engineering Lifecycle Optimization（ELO）是美国IBM公司的工程生命周期管理 (ELM) 产品组合的扩展。它们可以更轻松地收集和分析整个开发环境中的数据，以做出更好的决策。自动化报告以确保整个组织拥有优化开发所需的信息，定义可以帮助您的扩展团队采用和遵循最佳实践的流程，与第三方工具接口以自定义您的开发环境。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成应用拒绝服务等。

CNVD收录的相关漏洞包括：IBM CICS TX跨站请求伪造漏洞、IBM DataPower Gateway服务器端请求伪造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部实体注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation信息泄露漏洞（CNVD-2022-56974）、IBM Robotic Process Automation权限提升漏洞、IBM DataPower Gateway跨站脚本漏洞（CNVD-2022-56972）、IBM QRadar SIEM拒绝服务漏洞（CNVD-2022-56976）、IBM Engineering Lifecycle Optimization信息泄露漏洞。其中，“IBM CICS TX跨站请求伪造漏洞、IBM DataPower Gateway服务器端请求伪造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部实体注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Jenkins产品安全漏洞

Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。Jenkins Plugin是一个应用软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞向指定的URL发送HTTP请求、创建和删除XPath表达式、获取敏感信息等。

CNVD收录的相关漏洞包括：Jenkins Recipe Plugin XML外部实体注入漏洞、Jenkins Recipe Plugin跨站请求伪造漏洞、Jenkins RocketChat Notifier Plugin信息泄露漏洞、Jenkins Skype notifier Plugin信息泄露漏洞、Jenkins RQM Plugin信息泄露漏洞、Jenkins XPath Configuration Viewer Plugin授权问题漏洞、Jenkins Plugin requests-plugin授权问题漏洞、Jenkins XebiaLabs XL Release Plugin授权问题漏洞（CNVD-2022-58430）。目前，厂商已经发布了上述漏洞的修补程序。

TP-LINK TL-R473G远程代码执行漏洞

TP-LINK TL-R473G是中国普联（TP-LINK）公司的一款千兆企业VPN路由器。上周，TP-LINK TL-R473G被披露存在远程代码执行漏洞。攻击者可利用该漏洞通过特制的数据包执行远程代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在权限提升漏洞，攻击者可利用漏洞在系统上获得提升的权限。此外，SAP、IBM、Jenkins等多款产品被披露存在多个漏洞，攻击者可利用漏洞向指定的URL发送HTTP请求、获取敏感信息、提升权限、执行拒绝服务攻击，使系统暂时无法运行等。另外，TP-LINK TL-R473G被披露存在远程代码执行漏洞。攻击者可利用该漏洞通过特制的数据包执行远程代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国金融新闻网、中国农业银行微银行、浦发银行、南京银行、江西辖内农商银行微银行报道

关键词： 信息安全 权限提升 拒绝服务