Vulnérabilités dans Trend Micro Apex One

CVE-2021-25250 [Score CVSS v3 : 7.8] 

Une vulnérabilité a été corrigée dans Apex One. Elle est due à la définition de permissions incorrectes sur un fichier sensible dans l’agent de sécurité d’Apex One. Son exploitation peut permettre à un attaquant local et authentifié d’obtenir les privilèges SYSTEM et d'exécuter du code arbitraire dans ce contexte sur les dispositifs vulnérables. L’attaquant doit d'abord être en capacité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité.

CVE-2021-25253 [Score CVSS v3 : 7.8]

Une vulnérabilité de contrôle d'accès inappropriée dans Trend Micro Apex One, Trend Micro Apex One as a Service et OfficeScan XG SP1 sur une ressource utilisée par le service pourrait permettre à un attaquant local et authentifié d'élever ses privilèges sur les installations affectées. L'attaquant doit d'abord obtenir la possibilité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité.

CVE-2021-28645 [Score CVSS v3 : 7.8] 

Une vulnérabilité d'attribution de permission incorrecte dans Trend Micro Apex One, Apex One as a Service et OfficeScan XG SP1 pourrait permettre à un attaquant local et authentifié d'élever ses privilèges sur les installations affectées. L'attaquant doit d'abord obtenir la possibilité d'exécuter du code à faible privilège sur le système cible afin d'exploiter cette vulnérabilité.