Vulnérabilité dans les produits Trend Micro : Worry-Free Business Security et InterScan Web Security Virtual Appliance

De multiples vulnérabilités ont été découvertes dans des produits de sécurité édités par Trend Micro. Un attaquant local ou présent dans le réseau local peut exécuter du code arbitraire avec un niveau de privilèges élevé, tandis qu’un attaquant distant peut modifier des fichiers arbitraires sur le système vulnérable.

CVE-2020-24563 [Score CVSS v3 : 7.8] : Une vulnérabilité de type contournement d’authentification a été découverte dans Trend Micro Worry-Free Business Security 10 SP1. Un attaquant local disposant d’un faible niveau de privilèges peut exploiter un bogue non-spécifié pouvant aboutir à une exécution de code arbitraire avec des privilèges élevés.

CVE-2020-28574 [Score CVSS v3 : 10.0] : Une vulnérabilité de type “path traversal” a été découverte dans Trend Micro Worry-Free Business Security 10 SP1. Un attaquant distant non-authentifié peut supprimer ou modifier des fichiers arbitraires sur le système via un bogue non-spécifié. Les vulnérabilités de type “path traversal” impliquent des bogues permettant à un attaquant d’accéder à des fichiers en dehors d’un dossier dans lequel il serait normalement confiné, via l’utilisation de caractères de changement de dossier (e.g. “/” ou “\”).

CVE-2020-28578 [Score CVSS v3 : 7.3] : Une vulnérabilité de type dépassement de pile a été découverte dans Trend Micro InterScan Web Security Virtual Appliance 6.5 SP2. Un attaquant non-authentifié présent dans le réseau local peut exécuter du code arbitraire avec un haut niveau de privilèges via l’envoi de requêtes HTTP spécialement conçues.

Informations
+

Risques

  • Exécution de code arbitraire

  • Elévation de privilèges

  • Modification de fichiers arbitraires

Criticité

  • Score CVSS v3 : 7.3 ; 7.8 ; 10.0

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Trend Micro Worry-Free Business Security 10 SP1 avant le correctif 2260

  •  Trend Micro InterScan Web Security Virtual Appliance 6.5 SP2 avant le correctif 1919

CVE

  • CVE-2020-24563

  • CVE-2020-24574

  • CVE-2020-24578


Recommandations
+

Mise en place de correctifs de sécurité

Appliquer les correctifs de sécurité proposés par Trend Micro (voir la section “Composants vulnérables”) :

Solution de contournement

  • Aucune solution de contournement n’est disponible