トレンドマイクロ、エンドポイント製品における管理コンソールの認証回避につながるディレクトリトラバーサルの脆弱性について注意喚起
- 2019/11/12 10:00
- SecurityInsight
トレンドマイクロは11月5日、複製のエンドポイント製品における、管理コンソールの認証回避につながるディレクトリトラバーサルの脆弱性について注意喚起を行なった。
●脆弱性の影響を受ける製品/コンポーネント/ツール(バージョン)
・ウイルスバスター Corp.(11 SP1, XG, XG SP1)
・Apex One(2019)
・ウイルスバスタービジネスセキュリティ(9.0、9.5、10.0、10.0 SP1)
この脆弱性では、攻撃者はこのディレクトリトラバーサルの脆弱性を利用することで管理コンソールの認証を回避し、ルートユーザーのアカウントでログインすることが可能になる。
トレンドマイクロでは、この脆弱性に対するCritical Patchを公開している。また、この脆弱性を利用するには攻撃者は管理サーバーにネットワーク経由でアクセスする必要があるため、信頼されたネットワークからのみサーバーへのアクセスを許可することで、この脆弱性が利用される可能性を軽減することができる。