Vulnérabilités dans plusieurs produits Trend Micro
Date de publication :
CVE-2021-36741 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de validation d'entrée incorrecte dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de télécharger des fichiers arbitraires sur les installations affectées.
CVE-2021-36742 [Score CVSS v3 : 7.8 ]
Une vulnérabilité de validation incorrecte des entrées dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et ayant la capacité d’exécuter du code à faible privilèges d'élever ses privilèges sur les installations affectées.
CVE-2021-32464 [Score CVSS v3 : 7.8 ]
Une vulnérabilité d'élévation de privilèges due à une mauvaise affectation des permissions dans Trend Micro Apex One, Apex One as a Service et Worry-Free Business Security. Son exploitation peut permettre à un attaquant local et authentifié de modifier un script spécifique avant son exécution.
CVE-2021-32465 [Score CVSS v3 : 8.8 ]
Une vulnérabilité de préservation de permission incorrecte dans Trend Micro Apex One et Apex One as a Service. Son exploitation peut permettre à un attaquant distant et ayant la capacité d’exécuter du code à faible privilèges de contourner l'authentification sur les installations affectées.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilèges
Exécution de code arbitraire
Contournement d’authentification
Violation des politiques de sécurité
Criticité
-
Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
-
Trend Micro a signalé avoir observé au moins une tentative d'exploitation des CVE-2021-36741 et CVE-2021-36742.
Composants vulnérables
-
Apex One (sur site) versions antérieures à CP 9601
Apex One as a Service (SaaS) sans le correctif de juillet 2021
Worry-Free Business Security versions 10.x antérieures à 10.0 SP1 Patch 2329
Worry-Free Business Security Services versions 6.7.x antérieures à 6.7.1538
Worry-Free Business Security Services versions antérieures à 14.2.1295
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les composant impactées conformément aux instructions de l’éditeur Trend Micro.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.