Vulnérabilité dans les produits Trend Micro : Worry-Free Business Security et InterScan Web Security Virtual Appliance

De multiples vulnérabilités ont été découvertes dans des produits de sécurité édités par Trend Micro. Un attaquant local ou présent dans le réseau local peut exécuter du code arbitraire avec un niveau de privilèges élevé, tandis qu’un attaquant distant peut modifier des fichiers arbitraires sur le système vulnérable.

CVE-2020-24563[Score CVSS v3 : 7.8] : Une vulnérabilité de type contournement d’authentification a été découverte dans Trend Micro Worry-Free Business Security 10 SP1. Un attaquant local disposant d’un faible niveau de privilèges peut exploiter un bogue non-spécifié pouvant aboutir à une exécution de code arbitraire avec des privilèges élevés.

CVE-2020-28574[Score CVSS v3 : 10.0] : Une vulnérabilité de type “path traversal” a été découverte dans Trend Micro Worry-Free Business Security 10 SP1. Un attaquant distant non-authentifié peut supprimer ou modifier des fichiers arbitraires sur le système via un bogue non-spécifié. Les vulnérabilités de type “path traversal” impliquent des bogues permettant à un attaquant d’accéder à des fichiers en dehors d’un dossier dans lequel il serait normalement confiné, via l’utilisation de caractères de changement de dossier (e.g. “/” ou “\”).

CVE-2020-28578[Score CVSS v3 : 7.3] : Une vulnérabilité de type dépassement de pile a été découverte dans Trend Micro InterScan Web Security Virtual Appliance 6.5 SP2. Un attaquant non-authentifié présent dans le réseau local peut exécuter du code arbitraire avec un haut niveau de privilèges via l’envoi de requêtes HTTP spécialement conçues.