CERTFR-2022-AVI-817 : Multiples vulnérabilités dans Trend Micro Apex One (14 septembre 2022)

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Élévation de privilèges

Systèmes affectés

• Apex One Apex One versions antérieures à SP1 (b11092/11088)
• Apex One SaaS sans la mise à jour mensuelle d'août 2022

Résumé

De multiples vulnérabilités ont été découvertes dans Trend Micro Apex One. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

Contournement provisoire

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Trend Micro 000291528 du 13 septembre 2022
  https://success.trendmicro.com/dcx/s/solution/000291528
• Référence CVE CVE-2022-40144
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40144
• Référence CVE CVE-2022-40139
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40139
• Référence CVE CVE-2022-40140
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40140
• Référence CVE CVE-2022-40141
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40141
• Référence CVE CVE-2022-40142
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40142
• Référence CVE CVE-2022-40143
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40143