Vulnérabilités au sein de plusieurs produits Trend Micro
Date de publication :
CVE-2021-32464 [Score CVSS v3 : 7.8 ]
Une vulnérabilité d'élévation de privilèges due à une mauvaise affectation des permissions dans Trend Micro Apex One et Apex One as a Service pourrait permettre à un attaquant de modifier un script spécifique avant son exécution.
CVE-2021-32465 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de préservation de permission incorrecte dans Trend Micro Apex One et Apex One as a Service pourrait permettre à un utilisateur distant de réaliser une attaque et de contourner l'authentification sur les installations affectées.
CVE-2021-36741 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de validation d'entrée incorrecte dans Trend Micro Apex One et Apex One as a Service permet à un attaché distant de télécharger des fichiers arbitraires sur les installations affectées.
CVE-2021-36742 [Score CVSS v3 : 7.8 ]
Une vulnérabilité de validation incorrecte des entrées dans Trend Micro Apex One et Apex One as a Service permet à un attaquant local d'élever ses privilèges sur les installations affectées.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Atteinte à l’intégrité des données
Contournement d’authentification
Injection de code arbitraire
Elévation de privilèges
Criticité
-
Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
-
Trend Micro signale avoir constaté des tentatives d’exploitation des CVE-2021-36741 et CVE-2021-36742.
Composants vulnérables
-
Trend Micro Apex One sans le correctif de sécurité CP9601
Trend Micro Apex One SaaS sans le correctif mensuel de juillet 2021
Trend Micro Worry-Free Business Security Services versions 6.7.1510 / 14.2.1265 et antérieures.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur Trend Micro.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.