上周关注度较高的产品安全漏洞(20230417-20230423)

一、境外厂商产品漏洞

ZOHO ManageEngine ADManager Plus是美国卓豪（ZOHO）公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。ZOHO ManageEngine ADManager Plus存在远程命令漏洞，攻击者利用该漏洞通过代理设置执行命令注入攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-28754

2、SAP NetWeaver跨站脚本漏洞（CNVD-2023-28125）

SAP NetWeaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP NetWeaver存在跨站脚本漏洞，该漏洞源于用户输入的编码不足，攻击者可以利用该漏洞注入暴露敏感数据（如用户 ID 和密码）的代码。

3、Siemens SICAM A8000命令注入漏洞

 Siemens SICAM A8000是德国西门子（Siemens）公司的一款用于继电保护与变电站环境的保护与间隔控制单元设备。Siemens SICAM A8000存在命令注入漏洞。该漏洞源于设备未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞在设备上执行任意代码。

4、SAP NetWeaver AS Java授权问题漏洞（CNVD-2023-28121）

SAP NetWeaver AS Java是德国思爱普（SAP）公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。SAP NetWeaver AS Java 7.50版本存在授权问题漏洞，该漏洞源于未执行必要的授权检查。攻击者可利用该漏洞连接到开放端口，利用开放命名和目录API访问服务器数据。

5、Microsoft Visual Studio欺骗漏洞（CNVD-2023-29698）

Microsoft Visual Studio是美国微软（Microsoft）公司的一款开发工具套件系列产品，也是一个基本完整的开发工具集，它包括了整个软件生命周期中所需要的大部分工具。Microsoft Visual Studio存在欺骗漏洞，攻击者可借助特制网站利用该漏洞欺骗内容并诱导用户相信该网站的合法性，同时结合网页服务中的其他漏洞发起攻击。

二、境内厂商产品漏洞

1、D-Link DIR-3040命令注入漏洞

D-Link DIR-3040是中国友讯（D-Link）公司的一个路由器。提供连接网络的功能。D-Link DIR-3040存在命令注入漏洞，该漏洞源于SetTriggerLEDBlink函数未能正确过滤构造命令特殊字符、命令等，攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-28115 

2、TOTOLINK A3002MU存在命令执行漏洞

A3002MU是一款路由器。TOTOLINK A3002MU存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-29051 

3、D-Link DIR820LA1命令注入漏洞

D-Link DIR820LA1是中国友讯（D-Link）公司的一款路由器。D-Link DIR820LA1存在命令注入漏洞，攻击者可利用该漏洞通过设计有效载荷将权限提升至root。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-28114

4、TOTOLINK T8存在二进制漏洞（CNVD-2023-30415）

TOTOLINK T8是一款无线双频路由器。TOTOLINK T8存在二进制漏洞，攻击者可利用该漏洞导致任意代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30415

5、D-Link DVG-G5402SP访问控制错误漏洞

D-Link DVG-G5402SP是中国友讯（D-Link）公司的一款无线路由器。D-Link DVG-G5402SP存在访问控制错误漏洞，未经身份认证的攻击者可利用该漏洞通过编辑任意VoIP SIB文件实现提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-28116

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。