可用

趋势科技修复已被积极利用的 Apex One 零日漏洞

  • 浏览次数 11395
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

趋势科技(Trend Micro)本周宣布发布安全补丁,以解决其Apex One端点安全产品中的多个漏洞,包括一个零日漏洞,跟踪为CVE-2022-40139(CVSS 3.0评分7.2),该漏洞正在被积极利用。

CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题,代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。

趋势科技发布的公告表示:“我们已经确认,用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息,因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击(CVE-2022-40139)。我们建议尽快更新到最新版本。”

该公司指出,只有有权访问身份验证数据的攻击者才能利用该漏洞。

趋势科技没有分享利用此漏洞进行攻击的详细信息。

以下是安全公司解决的漏洞列表:

适用漏洞 产品/组件/工具 CVSS3.0 严重性
评分
CVE-2022-40139 Apex One 7.2  高
CVE-2022-40140 5.5
CVE-2022-40141 Apex One SaaS 5.6
CVE-2022-40142 7.8
CVE-2022-40143 7.3
CVE-2022-40144 8.2

 

消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文