首頁 > 安全研究 > 安全通報 > 安全通告

趨勢科技修復企業安全產品中的多個漏洞風險通告

發布時間 2020-03-18

漏洞編號和級別


CVE編號:CVE-2020-8467,危險級別:嚴重,CVSS分值:廠商自評:9.1,官方未評定

CVE編號:CVE-2020-8468,危險級別:高危,CVSS分值:廠商自評:8.0,官方未評定

CVE編號:CVE-2020-8470,危險級別:嚴重,CVSS分值:廠商自評:10,官方未評定

CVE編號:CVE-2020-8598,危險級別:嚴重,CVSS分值:廠商自評:10,官方未評定

CVE編號:CVE-2020-8599,危險級別:嚴重,CVSS分值:廠商自評:10,官方未評定


影響版本


Apex One (on premise) 2019

OfficeScan XG SP1

OfficeScan XG (non-SP)


漏洞概述


近日,趨勢科技發布安全更新,修復了兩個已在野外利用的0day和另外3個嚴重漏洞。概述如下:


CVE-2020-8467

Apex One和OfficeScan的遷移工具組件中的漏洞,可導致RCE,攻擊需要用戶身份認證。


CVE-2020-8468

Apex One和OfficeScan代理受到內容驗證轉義漏洞的影響,可允許攻擊者操縱某些代理客戶端組件,攻擊需要用戶身份認證。


CVE-2020-8470

rend Micro Apex One和OfficeScan服務器包含一個易受攻擊的服務DLL文件,攻擊者可以使用SYSTEM權限刪除服務器上的任何文件。利用此漏洞不需要身份驗證。


CVE-2020-8598

OfficeScan服務器包含易受攻擊的服務DLL文件,遠程攻擊者可以使用SYSTEM權限在受影響的安裝上執行任意代碼。利用此漏洞不需要身份驗證。


CVE-2020-8599

OfficeScan服務器包含一個易受攻擊的EXE文件,遠程攻擊者可以通過該文件將任意數據寫入受影響安裝的任意路徑并繞過Root登錄。利用此漏洞不需要身份驗證。


漏洞驗證


暫無PoC/EXP。


修復建議


目前官方已發布最新版本修復該漏洞,鏈接:https://success.trendmicro.com/solution/000245571。


參考鏈接


https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/



上一篇 下一篇