Hackernews 编译,转载请注明出处:
趋势科技(Trend Micro)本周宣布发布安全补丁,以解决其Apex One端点安全产品中的多个漏洞,包括一个零日漏洞,跟踪为CVE-2022-40139(CVSS 3.0评分7.2),该漏洞正在被积极利用。
CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题,代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。
趋势科技发布的公告表示:“我们已经确认,用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息,因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击(CVE-2022-40139)。我们建议尽快更新到最新版本。”
该公司指出,只有有权访问身份验证数据的攻击者才能利用该漏洞。
趋势科技没有分享利用此漏洞进行攻击的详细信息。
以下是安全公司解决的漏洞列表:
| 适用漏洞 | 产品/组件/工具 | CVSS3.0 | 严重性 |
| 评分 | |||
| CVE-2022-40139 | Apex One | 7.2 | 高 |
| CVE-2022-40140 | 5.5 | 中 | |
| CVE-2022-40141 | Apex One SaaS | 5.6 | 中 |
| CVE-2022-40142 | 7.8 | 高 | |
| CVE-2022-40143 | 7.3 | 高 | |
| CVE-2022-40144 | 8.2 | 高 |
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文