Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: Zranitelnosti produktů Trend Micro

11. 11. 2019

Trend Micro OfficeScan Arbitrary File Upload with Directory Traversal Vulnerability

Označení:

CVE-2019-18187 (závažnost podle CVSS 7.5)

Popis:

Zranitelné verze produktu Trend Micro OfficeScan by mohl být zneužit útočníkem využívajícím zranitelnost při procházení adresářů k extrahování souborů z libovolného souboru ZIP do konkrétní složky na serveru OfficeScan, což by potenciálně mohlo vést ke vzdálenému spuštění kódu (RCE). Vzdálené spuštění procesu j vázáno na účet webové služby, který může mít v závislosti na použité webové platformě omezená oprávnění. Pokus o útok vyžaduje ověření uživatele.

Zranitelné produkty:

  • Trend Micro OfficeScan verze 11.0 a XG (12.0)

Řešení:

  • Aktualizace na verzi 11.0 SP1 CP 6638, XG SP1 CP 5427, XG CP 1962 a vyšší.

Reference:

Trend Micro Apex One Arbitrary File Upload with Command Injection Vulnerability

Označení:

CVE-2019-18188 (závažnost podle CVSS 7.5)

Popis:

Trend Micro Apex One by mohl být zneužit útočníkem využívajícím zranitelnost příkazového injekce k extrahování souborů z libovolného zip souboru do konkrétní složky na serveru Apex One, což by mohlo vést ke vzdálenému spuštění kódu (RCE). Vzdálené spuštění procesu je vázáno na účet IUSR, který má omezené oprávnění a není schopen provádět zásadní změny systému. Pokus o útok vyžaduje ověření uživatele.

Zranitelné produkty:

  • Trend Micro Apex One starší než build 2049

Řešení:

  • Aktualizace na verzi CP 2049.

Reference:

Trend Micro Commercial Endpoints Root Login Bypass with Directory Traversal Vulnerability

Označení:

CVE-2019-18189 (závažnost podle CVSS 9.8)

Popis:

Chyba zabezpečení adresáře v Trend Micro Apex One, OfficeScan a Worry-Free Business Security může útočníkovi umožnit obejít autentizaci a přihlásit se do konzoly pro správu postiženého produktu jako uživatel root. Tato chyba zabezpečení nevyžaduje ověření.

Zranitelné produkty:

  • Trend Micro Apex One starší než build 2049
  • Trend Micro OfficeScan ve verzi XG SP1, XG, 11.0 SP1
  • Trend Micro Worry-Free Business Security ve verzi 10.0 SP1, 10.0, 9.5

Řešení:

Aktualizace na verzi:

  • Apex One (on premise) CP 2049
  • OfficeScan (XG SP1 CP 5427, XG CP 1962, 11.0 SP1 CP 6638)
  • Worry-Free Business Security (10.0 SP1 Patch 2179, 10.0 Patch 1569, 9.5 CP 1513)

Reference: