Vulnérabilités dans plusieurs produits Trend Micro
Date de publication :
CVE-2021-36741 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de validation d'entrée incorrecte dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de télécharger des fichiers arbitraires sur les installations affectées.
CVE-2021-36742 [Score CVSS v3 : 7.8 ]
Une vulnérabilité de validation incorrecte des entrées dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et ayant la capacité d’exécuter du code à faible privilèges d'élever ses privilèges sur les installations affectées.
CVE-2021-32464 [Score CVSS v3 : 7.8 ]
Une vulnérabilité d'élévation de privilèges due à une mauvaise affectation des permissions dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et authentifié de modifier un script spécifique avant son exécution.
CVE-2021-32465 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de préservation de permission incorrecte dans Trend Micro Apex One et Apex One as a Service. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de contourner l'authentification sur les installations affectées.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
- Contournement d’authentification
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Trend Micro a signalé avoir observé au moins une tentative d'exploitation des CVE-2021-36741 et CVE-2021-36742.
Composants vulnérables
- Apex One (sur site) versions antérieures à CP 9601
- Apex One as a Service (SaaS) sans le correctif de juillet 2021
- Worry-Free Business Security versions 10.x antérieures à 10.0 SP1 Patch 2329
- Worry-Free Business Security Services versions 6.7.x antérieures à 6.7.1538
- Worry-Free Business Security Services versions antérieures à 14.2.1295
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les composant impactées conformément aux instructions de l’éditeur Trend Micro.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.