国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞418个，互联网上出现“Markdownify代码执行漏洞、Perfex Crm跨站脚本漏洞（CNVD-2023-36117）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

防范“征信修复”骗局 避免上当受骗

【资料图】

凡是打着“征信修复”“征信铲除”“征信洗白”等各类幌子，声称可以花钱对不良信息进行征信修复的都是非法牟利的陷阱，切勿上当受骗！>>详细

【锦囊】莫让校园毕业季，成为骗子“丰收季”

求职诈骗套路多，应聘收费存陷阱，贷款培训需谨慎，海外高薪勿轻信。>>详细

以案说险：远离“非法代理投诉”，树立正确维权意识

消费者如遇不法分子窃取或非法利用个人信息、利用代理投诉举报进行诈骗等，应第一时间向公安机关报案，保护好个人正当权益。>>详细

安全课堂 | 防范退费诈骗，守护资金安全

防范退费诈骗，守护资金安全，遇事疑问多一点，安全守护多一分。>>详细

与民同心 防范风险 为您守护钱袋子 5.15经侦宣传日：中国银联助力打击与防范经济犯罪

在中国人民银行和公安部的指导下，中国银联不断深化产业联防联控机制，持续提升智能风控能力，着力守护群众“钱袋子”。>>详细

擦亮眼！谨防三类养老诈骗陷阱！

老年人要增强理性投资理财观念，谨记“投资有风险”，警惕各类标榜“低风险、高回报”的投资理财项目，切勿受“高收益”诱惑冲动投资。>>详细

消保为民 | 以案说险勿以身试法

请妥善保管好自己的银行卡信息，提高自我防护意识，切勿以身试法。>>详细

普及|《反电信网络诈骗法》，这些重点要知道~

开立银行账户、支付账户不得超出国家有关规定限制的数量。对经识别存在异常开户情形的，银行业金融机构、非银行支付机构有权加强核查或者拒绝开户。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年5月8日-14日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞418个，其中高危漏洞195个、中危漏洞180个、低危漏洞43个。漏洞平均分值为6.45。上周收录的漏洞中，涉及0day漏洞332个（占79%），其中互联网上出现“Markdownify代码执行漏洞、Perfex Crm跨站脚本漏洞（CNVD-2023-36117）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-36105、CNVD-2023-36108、CNVD-2023-36107、CNVD-2023-36109、CNVD-2023-36112、CNVD-2023-36115、CNVD-2023-36114）、Google Android代码执行漏洞（CNVD-2023-36113）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens TIA Portal是德国西门子（Siemens）公司的一个完全集成的自动化门户。TIA Portal使您可以不受限制地访问从数字规划到集成工程和透明操作的全套数字化自动化服务。Siemens Solid Edge是德国西门子（Siemens）公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。SIMATIC Cloud Connect 7是一种物联网网关，用于将可编程逻辑控制器连接到云服务，并允许将现场设备与OPC UA服务器接口连接为OPC UA客户端。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过端点下载可用的文件，执行任意代码，导致拒绝服务（DoS）等。

CNVD收录的相关漏洞包括：Siemens TIA Portal路径遍历漏洞（CNVD-2023-35760）、Siemens Solid Edge文件解析漏洞（CNVD-2023-35762）、Siemens SIMATIC Cloud Connect 7路径遍历漏洞（CNVD-2023-35768、CNVD-2023-35772）、Siemens SIMATIC Cloud Connect 7信息泄露漏洞（CNVD-2023-35770、CNVD-2023-35769）、Siemens SIMATIC Cloud Connect 7拒绝服务漏洞、Siemens SIMATIC Cloud Connect 7命令注入漏洞。其中，“Siemens Solid Edge文件解析漏洞（CNVD-2023-35762）、Siemens SIMATIC Cloud Connect 7路径遍历漏洞（CNVD-2023-35772）、Siemens SIMATIC Cloud Connect 7命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内核信息泄露，权限提升，使服务器崩溃，执行任意代码等。

CNVD收录的相关漏洞包括：Linux kernel tcindex_delete函数内存错误引用漏洞、Linux Kernel拒绝服务漏洞（CNVD-2023-34458）、Linux kernel资源管理错误漏洞（CNVD-2023-34463、CNVD-2023-34467、CNVD-2023-34465）、Linux kernel权限提升漏洞（CNVD-2023-34461）、Linux kernel双重释放漏洞（CNVD-2023-34466）、Linux kernel输入验证错误漏洞（CNVD-2023-34464）。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft PostScript Printer Driver是美国微软（Microsoft）公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是美国微软（Microsoft）公司的一个打印机驱动软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞远程执行代码。

CNVD收录的相关漏洞包括：Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞（CNVD-2023-35215、CNVD-2023-35213、CNVD-2023-35212、CNVD-2023-35218、CNVD-2023-35217、CNVD-2023-35216、CNVD-2023-35221、CNVD-2023-35220）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR R6220命令执行漏洞

NETGEAR R6220是美国网件（NETGEAR）公司的一款无线路由器。上周，NETGEAR R6220被披露存在命令执行漏洞，该漏洞是由于访问控制不当造成的。攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码。此外，Siemens、Linux、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过端点下载可用的文件，导致内核信息泄露，权限提升，执行任意代码，导致拒绝服务（DoS）等。另外，NETGEAR R6220被披露存在命令执行漏洞，攻击者可利用该漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行征信中心、中国银联、中信银行、浦发银行、北京银行微银行、邯郸银行、晋商银行、广东农信报道