JVNDB-2023-002100

複数のトレンドマイクロ製企業向け製品における脆弱性に対するアップデート (2023年6月)

トレンドマイクロ株式会社から各製品向けのアップデートが公開されました。影響を受ける脆弱性は各製品により異なります。詳細については開発者が提供する各アドバイザリを参照してください。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

トレンドマイクロ

• Apex Central
• Apex One
• Apex One as a Service
• Trend Micro Mobile Security 9.8 SP5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。詳細については開発者が提供する各アドバイザリを参照してください。

Trend Micro Mobile Security 9.8 SP5
　* 認証されていないパストラバーサルによる任意のファイル削除 - CVE-2023-32521
　* 認証されたパストラバーサルによる任意のファイル削除 - CVE-2023-32522
　* 認証回避による不正アクセス - CVE-2023-32523、CVE-2023-32524
　* 許可されていない権限でのファイルアップロード - CVE-2023-32525、CVE-2023-32526
　* ローカルファイルインクルージョンによる任意のコマンド実行 - CVE-2023-32527、CVE-2023-32528

Apex One、Apex One SaaS
　* レジストリキーに対する権限昇格 - CVE-2023-30902
　* 不適切なアクセス制御による情報漏えい - CVE-2023-32552、CVE-2023-32553
　* Time-of-check Time-of-use（TOCTOU）競合によるローカル権限昇格 - CVE-2023-32554、CVE-2023-32555
　* リンク解釈の問題による情報漏えい - CVE-2023-32556
　* パストラバーサルによるリモートコード実行 - CVE-2023-32557
　* 信頼できない検索パスによる権限昇格 - CVE-2023-34144、CVE-2023-34145
　* 危険なメソッドや機能の公開による権限昇格 - CVE-2023-34146、CVE-2023-34147、CVE-2023-34148

Apex Central
　* SQLインジェクションによるリモートコード実行 - CVE-2023-32529、CVE-2023-32530
　* クロスサイトスクリプティングによるリモートコード実行 - CVE-2023-32531、CVE-2023-32532、CVE-2023-32533、CVE-2023-32534、CVE-2023-32535
　* 認証済みの環境における反射型クロスサイトスクリプティング - CVE-2023-32536、CVE-2023-32537、CVE-2023-32604、CVE-2023-32605

[アップデートする]
トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。
なお、Apex One SaaS については2023年4月および5月のメンテナンスで修正済みとのことです。

また、開発者によると、CVE-2023-32552 および CVE-2023-32553 に対応する機能を有効化するためには、アップデート後に追加の設定が必要とのことです。
詳細は、開発者が提供する情報をご確認ください。

トレンドマイクロ

• トレンドマイクロ : アラート/アドバイザリ : Trend Micro Mobile Securityに関するCVE-2023-32521他複数の脆弱性について（2023年5月）
• トレンドマイクロ : アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2023年5月）
• トレンドマイクロ : アラート/アドバイザリ：Trend Micro Apex Central で確認した複数の脆弱性について（2023年5月）
• トレンドマイクロ : アラート/アドバイザリ：Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について（2023年6月）

1. CVE-2023-32521
2. CVE-2023-32522
3. CVE-2023-32523
4. CVE-2023-32524
5. CVE-2023-32525
6. CVE-2023-32526
7. CVE-2023-32527
8. CVE-2023-32528
9. CVE-2023-30902
10. CVE-2023-32552
11. CVE-2023-32553
12. CVE-2023-32554
13. CVE-2023-32555
14. CVE-2023-32556
15. CVE-2023-32557
16. CVE-2023-34144
17. CVE-2023-34145
18. CVE-2023-34146
19. CVE-2023-34147
20. CVE-2023-34148
21. CVE-2023-32529
22. CVE-2023-32530
23. CVE-2023-32531
24. CVE-2023-32532
25. CVE-2023-32533
26. CVE-2023-32534
27. CVE-2023-32535
28. CVE-2023-32536
29. CVE-2023-32537
30. CVE-2023-32604
31. CVE-2023-32605

1. JVN : JVNVU#91852506
2. JVN : JVNVU#93384719

• [2023年06月14日]
    掲載
• [2023年07月25日]
    参考情報：JVN (JVNVU#93384719) を追加