【活用ガイド】

[English]

JVNDB-2023-002100

複数のトレンドマイクロ製企業向け製品における脆弱性に対するアップデート (2023年6月)

概要

トレンドマイクロ株式会社から各製品向けのアップデートが公開されました。影響を受ける脆弱性は各製品により異なります。詳細については開発者が提供する各アドバイザリを参照してください。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


トレンドマイクロ
  • Apex Central
  • Apex One
  • Apex One as a Service
  • Trend Micro Mobile Security 9.8 SP5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。詳細については開発者が提供する各アドバイザリを参照してください。

Trend Micro Mobile Security 9.8 SP5
 * 認証されていないパストラバーサルによる任意のファイル削除 - CVE-2023-32521
 * 認証されたパストラバーサルによる任意のファイル削除 - CVE-2023-32522
 * 認証回避による不正アクセス - CVE-2023-32523、CVE-2023-32524
 * 許可されていない権限でのファイルアップロード - CVE-2023-32525、CVE-2023-32526
 * ローカルファイルインクルージョンによる任意のコマンド実行 - CVE-2023-32527、CVE-2023-32528

Apex One、Apex One SaaS
 * レジストリキーに対する権限昇格 - CVE-2023-30902
 * 不適切なアクセス制御による情報漏えい - CVE-2023-32552、CVE-2023-32553
 * Time-of-check Time-of-use(TOCTOU)競合によるローカル権限昇格 - CVE-2023-32554、CVE-2023-32555
 * リンク解釈の問題による情報漏えい - CVE-2023-32556
 * パストラバーサルによるリモートコード実行 - CVE-2023-32557
 * 信頼できない検索パスによる権限昇格 - CVE-2023-34144、CVE-2023-34145
 * 危険なメソッドや機能の公開による権限昇格 - CVE-2023-34146、CVE-2023-34147、CVE-2023-34148

Apex Central
 * SQLインジェクションによるリモートコード実行 - CVE-2023-32529、CVE-2023-32530
 * クロスサイトスクリプティングによるリモートコード実行 - CVE-2023-32531、CVE-2023-32532、CVE-2023-32533、CVE-2023-32534、CVE-2023-32535
 * 認証済みの環境における反射型クロスサイトスクリプティング - CVE-2023-32536、CVE-2023-32537、CVE-2023-32604、CVE-2023-32605
対策

[アップデートする]
トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。
なお、Apex One SaaS については2023年4月および5月のメンテナンスで修正済みとのことです。

また、開発者によると、CVE-2023-32552 および CVE-2023-32553 に対応する機能を有効化するためには、アップデート後に追加の設定が必要とのことです。
詳細は、開発者が提供する情報をご確認ください。
ベンダ情報

トレンドマイクロ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. パス・トラバーサル(CWE-22) [NVD評価]
  2. 不適切な認証(CWE-287) [NVD評価]
  3. 情報不足(CWE-noinfo) [NVD評価]
  4. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [NVD評価]
  5. リンク解釈の問題(CWE-59) [NVD評価]
  6. 信頼できない検索パス(CWE-426) [NVD評価]
  7. 不適切な権限管理(CWE-269) [NVD評価]
  8. SQLインジェクション(CWE-89) [NVD評価]
  9. クロスサイトスクリプティング(CWE-79) [NVD評価]
  10. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-32521
  2. CVE-2023-32522
  3. CVE-2023-32523
  4. CVE-2023-32524
  5. CVE-2023-32525
  6. CVE-2023-32526
  7. CVE-2023-32527
  8. CVE-2023-32528
  9. CVE-2023-30902
  10. CVE-2023-32552
  11. CVE-2023-32553
  12. CVE-2023-32554
  13. CVE-2023-32555
  14. CVE-2023-32556
  15. CVE-2023-32557
  16. CVE-2023-34144
  17. CVE-2023-34145
  18. CVE-2023-34146
  19. CVE-2023-34147
  20. CVE-2023-34148
  21. CVE-2023-32529
  22. CVE-2023-32530
  23. CVE-2023-32531
  24. CVE-2023-32532
  25. CVE-2023-32533
  26. CVE-2023-32534
  27. CVE-2023-32535
  28. CVE-2023-32536
  29. CVE-2023-32537
  30. CVE-2023-32604
  31. CVE-2023-32605
参考情報

  1. JVN : JVNVU#91852506
  2. JVN : JVNVU#93384719
  3. National Vulnerability Database (NVD) : CVE-2023-30902
  4. National Vulnerability Database (NVD) : CVE-2023-32521
  5. National Vulnerability Database (NVD) : CVE-2023-32522
  6. National Vulnerability Database (NVD) : CVE-2023-32523
  7. National Vulnerability Database (NVD) : CVE-2023-32524
  8. National Vulnerability Database (NVD) : CVE-2023-32525
  9. National Vulnerability Database (NVD) : CVE-2023-32526
  10. National Vulnerability Database (NVD) : CVE-2023-32527
  11. National Vulnerability Database (NVD) : CVE-2023-32528
  12. National Vulnerability Database (NVD) : CVE-2023-32552
  13. National Vulnerability Database (NVD) : CVE-2023-32553
  14. National Vulnerability Database (NVD) : CVE-2023-32554
  15. National Vulnerability Database (NVD) : CVE-2023-32555
  16. National Vulnerability Database (NVD) : CVE-2023-32556
  17. National Vulnerability Database (NVD) : CVE-2023-32557
  18. National Vulnerability Database (NVD) : CVE-2023-34144
  19. National Vulnerability Database (NVD) : CVE-2023-34145
  20. National Vulnerability Database (NVD) : CVE-2023-34146
  21. National Vulnerability Database (NVD) : CVE-2023-34147
  22. National Vulnerability Database (NVD) : CVE-2023-32529
  23. National Vulnerability Database (NVD) : CVE-2023-32530
  24. National Vulnerability Database (NVD) : CVE-2023-32531
  25. National Vulnerability Database (NVD) : CVE-2023-32532
  26. National Vulnerability Database (NVD) : CVE-2023-32533
  27. National Vulnerability Database (NVD) : CVE-2023-32534
  28. National Vulnerability Database (NVD) : CVE-2023-32535
  29. National Vulnerability Database (NVD) : CVE-2023-32536
  30. National Vulnerability Database (NVD) : CVE-2023-32537
  31. National Vulnerability Database (NVD) : CVE-2023-32604
  32. National Vulnerability Database (NVD) : CVE-2023-32605
  33. National Vulnerability Database (NVD) : CVE-2023-34148
更新履歴

  • [2023年06月14日]
      掲載
  • [2023年07月25日]
      参考情報:JVN (JVNVU#93384719) を追加
  • [2024年05月23日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32521) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32522) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32523) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32524) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32525) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32526) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32527) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32528) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-30902) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32552) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32553) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32554) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32555) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32556) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32557) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-34144) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-34145) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-34146) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-34147) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-34148) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32529) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32530) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32531) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32532) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32533) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32534) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32535) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32536) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32537) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32604) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-32605) を追加

公表日2023/06/13
登録日2023/06/14
最終更新日2024/05/23