脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2023-32529
| Apex Central | All | 7.2 | 高 |
| CVE-2023-32530 | All | 7.2 | 高 | |
| CVE-2023-32531 | All | 6.1 | 中 | |
| CVE-2023-32532 | All | 6.1 | 中 | |
| CVE-2023-32533 | All | 6.1 | 中 | |
| CVE-2023-32534 | All | 6.1 | 中 | |
| CVE-2023-32535 | All | 6.1 | 中 | |
| CVE-2023-32536 | All | 4.1 | 中 | |
| CVE-2023-32537 | All | 4.1 | 中 | |
| CVE-2023-32604 | All | 4.1 | 中 | |
|
CVE-2023-32605
| All | 4.1 | 中 |
脆弱性の概要
CVE-2023-32529 及び 32530: SQL インジェクションによるリモートコード実行の脆弱性
ZDI-CAN-17688, ZDI-CAN-17690
CVSSv3: 7.2: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Apex Centralにおいて、SQLインジェクションの脆弱性が確認されました。この脆弱性により、認証されたユーザによるリモートコード実行が行える可能性があります。この脆弱性を悪用するには、攻撃者はApex Centralの認証情報を取得している必要があります。
CVE-2023-32531, 32532, 32533, 32534 及び 32535: クロスサイトスクリプティングによるリモートコード実行の脆弱性
ZDI-CAN-18872, ZDI-CAN-18871, ZDI-CAN-18876, ZDI-CAN-18874, ZDI-CAN-18867
CVSSv3: 6.1: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Apex Centralの一部のダッシュボードのウィジェットにおいて、クロスサイトスクリプティングの脆弱性が確認されました。この脆弱性により、リモートコード実行を行うことができる可能性があります。
CVE-2023-32536, 32537, 32604 及び 32605: 認証済みの環境における反射型クロスサイトスクリプティングの脆弱性
CVSSv3: 4.1: AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
Apex Centralにおいて、反射型のクロスサイトスクリプティングの脆弱性が確認されました。この脆弱性を悪用するには、攻撃者はApex Centralの認証情報を取得している必要があります。
ZDI-CAN-17688, ZDI-CAN-17690
CVSSv3: 7.2: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Apex Centralにおいて、SQLインジェクションの脆弱性が確認されました。この脆弱性により、認証されたユーザによるリモートコード実行が行える可能性があります。この脆弱性を悪用するには、攻撃者はApex Centralの認証情報を取得している必要があります。
CVE-2023-32531, 32532, 32533, 32534 及び 32535: クロスサイトスクリプティングによるリモートコード実行の脆弱性
ZDI-CAN-18872, ZDI-CAN-18871, ZDI-CAN-18876, ZDI-CAN-18874, ZDI-CAN-18867
CVSSv3: 6.1: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Apex Centralの一部のダッシュボードのウィジェットにおいて、クロスサイトスクリプティングの脆弱性が確認されました。この脆弱性により、リモートコード実行を行うことができる可能性があります。
CVE-2023-32536, 32537, 32604 及び 32605: 認証済みの環境における反射型クロスサイトスクリプティングの脆弱性
CVSSv3: 4.1: AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
Apex Centralにおいて、反射型のクロスサイトスクリプティングの脆弱性が確認されました。この脆弱性を悪用するには、攻撃者はApex Centralの認証情報を取得している必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex Central | 2019 | Patch4 b6394 | Readme |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-17688
- ZDI-CAN-17690
- ZDI-CAN-18872
- ZDI-CAN-18871
- ZDI-CAN-18876
- ZDI-CAN-18874
- ZDI-CAN-18867
更新情報
- 2023年 5月17日 公開