脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2024-36359
| IWSVA | 6.5 SP3 Patch2 ビルド:3366未満のバージョン | スコア | 中 |
| IWSS | 6.5 Patch4 ビルド:3152未満のバージョン | スコア | 中 |
脆弱性の概要
CVE-2024-36359: クロスサイトスクリプティングによる権限昇格の脆弱性ZDI-CAN-21495
CVSSv3: 5.4: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
IWSVA、IWSSの脆弱性により、攻撃者に権限昇格される可能性があります。
※攻撃者がこの脆弱性を悪用するには、まずIWSVAおよびIWSSのシステム上で低い特権のコードを実行出来る状態である必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| IWSVA | 6.5 SP3 Patch 2 | 6.5 SP3 Patch 2 Critical Patch (ビルド:3366) | Readme |
| IWSS | 6.5 Patch 4 | 6.5 Patch 4 Critical Patch (ビルド:3152) | Readme |
軽減要素
この種の脆弱性を悪用するためには、一般的に攻撃者は物理的、もしくは遠隔でIWSVA/IWSSのシステムにアクセスできる必要があります。信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
この脆弱性の悪用には上記の条件を満たす必要がありますが、トレンドマイクロはできるだけ上記の Critical Patch を適用いただくことを推奨しています。
参照情報
- ZDI-CAN-21495