概要
ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性(CVE-2019-18187)について、教えてください。
詳細
脆弱性の影響を受ける製品/コンポーネント/ツール
次の製品で脆弱性の影響が確認されました。| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2019-18187
| ウイルスバスターコーポレートエディション | 11 SP1 XG XG SP1 | 8.2 | 高 |
脆弱性の概要
CVE-2019-18187 (CVSS 3.0 8.2)攻撃者はこのディレクトリトラバーサルの脆弱性を利用することで、アップロードされた任意のzip形式のファイルを特定のフォルダ配下に展開することが可能です。これにより管理コンソールで使用しているWebサービスのアカウントでの任意コード実行が可能になります(このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります)。この脆弱性を利用するためには、管理コンソールへのユーザ認証が必要となります。
注意:トレンドマイクロは、この脆弱性が実際の攻撃に利用されたことを認知しています。できるだけ早く最新バージョンへ更新することを推奨しています。
対処方法
トレンドマイクロでは、本脆弱性に対する Critical Patch (以下、CP) を公開しています。| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| ウイルスバスターコーポレートエディション | 11 SP1 XG XG SP1 | Readme Readme Readme |
Critical Patch 5427 適用後に確認されている問題について、発生条件や回避策を下記製品 Q&A で公開しております。
こちらも併せてご確認ください。
こちらも併せてご確認ください。
お使いの環境が、対象バージョンに該当するか確認するには、下記FAQの確認方法でご確認をお願いします。
各製品を最新版へバージョンアップする流れは、下記FAQの確認方法でご確認をお願いします。
注意:上記に記載のないサポート外の旧バージョンをご利用のお客様については、サポート期間内のバージョンへバージョンアップを行うことを強く推奨します。
軽減要素
本脆弱性を利用するには、攻撃者はウイルスバスター Corp.サーバにネットワーク経由でアクセスする必要があります。信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
