Vulnérabilités dans les produits Trend Micro
Date de publication :
De multiples vulnérabilités ont été découvertes dans Trend Micro Apex One et OfficeScan XG. Un attaquant local disposant de permissions basiques peut élever son niveau de privilèges ainsi qu’exécuter du code arbitraire.
CVE-2020-24563 [Score CVSS v3 : 7.8] : Une vulnérabilité de type contournement d’authentification a été découverte dans Apex One sur Windows. Un attaquant local disposant de permissions basiques peut élever son niveau de privilèges sur la machine vulnérable et exécuter du code arbitraire, via une manipulation imprévue de la configuration.
CVE-2020-25773 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Apex One sur Windows. Un attaquant local disposant de permissions basiques peut exécuter du code arbitraire lors de l’import d’un fichier de configuration corrompu par un utilisateur légitime.
CVE-2020-24556, CVE-2020-24562 [Score CVSS v3 : 7.8] : De multiples vulnérabilités de type élévation de privilèges ont été découvertes dans OfficeScan XG sur Windows. Un attaquant local disposant de permissions basiques peut élever son niveau de privilèges via l’utilisation de liens particulièrement conçus dans le système de fichiers.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Trend Micro Apex One (Windows) avant l’application du correctif de sécurité de septembre
- Trend Micro OfficeScan XG (Windows) avant l’application du correctif XG SP1 Patch 3 b5684
CVE
- CVE-2020-24563
- CVE-2020-25773
- CVE-2020-24556
- CVE-2020-24562
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer les correctifs de sécurité proposés par Trend Micro (voir la section “Composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible