Vulnérabilités dans Trend Micro Password Manager
Date de publication :
CVE-2021-32461 [Score CVSS v3 : 7.8]
Une vulnérabilité a été corrigée au sein de Microsoft Teams. La faille spécifique réside dans le service de contrôle central de Trend Micro Password Manager. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner la troncature d'un nombre entier avant l'allocation d'un tampon. Son exploitation peut permettre à un attaquant local d'élever ses privilèges et d’exécuter du code arbitraire avec les droits SYSTEM. Ce dernier doit d'abord obtenir la possibilité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité.
CVE-2021-32462 [Score CVSS v3 : 8.8]
Une vulnérabilité a été corrigée au sein de Microsoft Teams. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter du code arbitraire sur les installations affectées de Trend Micro Password Manager. La faille spécifique existe au sein du service de contrôle central de Trend Micro Password Manager. Le problème résulte de l'exposition d'une méthode ou d'une fonction spécifique à des utilisateurs non privilégiés. Un attaquant peut tirer parti de cette vulnérabilité pour élever ses privilèges et exécuter du code arbitraire dans le contexte de SYSTEM.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Trend Micro Password Manager version 5.0.0.1217 et antérieures.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Trend Micro Password Manager vers la version 5.0.0.1223 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.