JVNVU#91852506
複数のトレンドマイクロ製企業向け製品における脆弱性に対するアップデート (2023年6月)

トレンドマイクロ株式会社から、各製品向けのアップデートが公開されました。

• Trend Micro Mobile Security 9.8 SP5
• Apex One
• Apex One SaaS
• Apex Central

トレンドマイクロ株式会社から各製品向けのアップデートが公開されました。影響を受ける脆弱性は各製品により異なります。詳細については開発者が提供する各アドバイザリを参照してください。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。詳細については開発者が提供する各アドバイザリを参照してください。

Trend Micro Mobile Security 9.8 SP5

• 認証されていないパストラバーサルによる任意のファイル削除 - CVE-2023-32521
• 認証されたパストラバーサルによる任意のファイル削除 - CVE-2023-32522
• 認証回避による不正アクセス - CVE-2023-32523、CVE-2023-32524
• 許可されていない権限でのファイルアップロード - CVE-2023-32525、CVE-2023-32526
• ローカルファイルインクルージョンによる任意のコマンド実行 - CVE-2023-32527、CVE-2023-32528

• レジストリキーに対する権限昇格 - CVE-2023-30902
• 不適切なアクセス制御による情報漏えい - CVE-2023-32552、CVE-2023-32553
• Time-of-check Time-of-use（TOCTOU）競合によるローカル権限昇格 - CVE-2023-32554、CVE-2023-32555
• リンク解釈の問題による情報漏えい - CVE-2023-32556
• パストラバーサルによるリモートコード実行 - CVE-2023-32557
• 信頼できない検索パスによる権限昇格 - CVE-2023-34144、CVE-2023-34145
• 危険なメソッドや機能の公開による権限昇格 - CVE-2023-34146、CVE-2023-34147、CVE-2023-34148

• SQLインジェクションによるリモートコード実行 - CVE-2023-32529、CVE-2023-32530
• クロスサイトスクリプティングによるリモートコード実行 - CVE-2023-32531、CVE-2023-32532、CVE-2023-32533、CVE-2023-32534、CVE-2023-32535
• 認証済みの環境における反射型クロスサイトスクリプティング - CVE-2023-32536、CVE-2023-32537、CVE-2023-32604、CVE-2023-32605

アップデートする
トレンドマイクロ株式会社が提供する情報をもとに最新版へアップデートしてください。
なお、Apex One SaaSについては2023年4月および5月のメンテナンスで修正済みとのことです。

また、開発者によると、CVE-2023-32552およびCVE-2023-32553に対応する機能を有効化するためには、アップデート後に追加の設定が必要とのことです。
詳細は、開発者が提供する情報をご確認ください。