Vulnérabilités dans plusieurs produits Trend Micro

CVE-2021-36741 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de validation d'entrée incorrecte dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de télécharger des fichiers arbitraires sur les installations affectées.

CVE-2021-36742 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de validation incorrecte des entrées dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et ayant la capacité d’exécuter du code à faible privilèges d'élever ses privilèges sur les installations affectées.

CVE-2021-32464 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité d'élévation de privilèges due à une mauvaise affectation des permissions dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et authentifié de modifier un script spécifique avant son exécution.

CVE-2021-32465 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de préservation de permission incorrecte dans Trend Micro Apex One et Apex One as a Service. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de contourner l'authentification sur les installations affectées.

Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire
  • Contournement d’authentification
  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Composants vulnérables

  • Apex One (sur site) versions antérieures à CP 9601
  • Apex One as a Service (SaaS) sans le correctif de juillet 2021
  • Worry-Free Business Security versions 10.x antérieures à 10.0 SP1 Patch 2329
  • Worry-Free Business Security Services versions 6.7.x antérieures à 6.7.1538
  • Worry-Free Business Security Services versions antérieures à 14.2.1295

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les composant impactées conformément aux instructions de l’éditeur Trend Micro.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.