Vulnérabilités dans le logiciel de sécurité TrendMicro OfficeScan (Apex One)
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans TrendMicro OfficeScan (baptisé Apex One dans ses versions les plus récentes).
CVE-2020-24563[Score CVSS v3 : 7.8] : Une vulnérabilité a été corrigée dans le logiciel Trend Micro OfficeScan XG SP1. Cette faille peut permettre à un attaquant local et authentifié d’élever ses privilèges ainsi que d’exécuter du code arbitraire en manipulant le processus de l'option de déchargement de l'agent de sécurité (si elle est configurée).
CVE-2020-25773[Score CVSS v3 : 7.8] : Une vulnérabilité a été corrigée dans le composant ServerMigrationTool du logiciel Trend Micro OfficeScan XG SP1. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire sur les dispositifs vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.8 ; 7.8
Existence d’un code d’exploitation
- Il n’existe pas de code d'exploitation connu publiquement à ce jour.
Composants vulnérables
- OfficeScan XG SP1
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Installer le patch correctif OfficeScan XG SP1 CP5702
Disponible dans l’onglet “Solution” de la référence de ce bulletin.
Solution de contournement
Aucune solution de contournement n’existe à ce jour.