脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2023-38624
| Apex Central | All | 4.2 | 中 |
| CVE-2023-38625 | All | 4.2 | 中 | |
| CVE-2023-38626 | All | 4.2 | 中 | |
| CVE-2023-38627 | All | 4.2 | 中 |
脆弱性の概要
CVE-2023-38624 から 38627: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
CVSSv3: 4.2: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Trend Micro Apex Centralにおいて、認証後のサーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。 この脆弱性により、内部サービスやローカルサービスに直接やりとりを行うことができる可能性があります。攻撃者は低レベルでのコードの実行権限を保持している必要があります
CVSSv3: 4.2: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Trend Micro Apex Centralにおいて、認証後のサーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。 この脆弱性により、内部サービスやローカルサービスに直接やりとりを行うことができる可能性があります。攻撃者は低レベルでのコードの実行権限を保持している必要があります
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex Central | 2019 | Patch5(b6481) | Readme |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-19870
- ZDI-CAN-19871
- ZDI-CAN-19872
- ZDI-CAN-20329
更新情報
- 2023年 7月27日 公開