ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:Apex Oneにおける任意のファイルアップロードを可能にするコマンドインジェクションの脆弱性

    • 更新日:
    • 28 Oct 2019
    • 製品/バージョン:
    • Apex One 2019
    • OS:
概要
Apex Oneにおける任意のファイルアップロードを可能にするコマンドインジェクションの脆弱性(CVE-2019-18188)について、教えてください
詳細
Public

脆弱性の影響を受ける製品/コンポーネント/ツール

次の製品で脆弱性の影響を確認しています。
該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2019-18188
Apex One20198.2 高
 

脆弱性の概要

CVE-2019-18188 (CVSS 3.0 8.2)
攻撃者はこのコマンドインジェクションの脆弱性を利用することで、任意のファイルを特定のフォルダにアップロードすることが可能です。これによりIUSRアカウントを利用した任意コード実行が可能になります(IUSRの権限は限られており大規模なシステム変更を行うことはできません)。この脆弱性を利用するためには、管理コンソールへのユーザ認証が必要となります。

対処方法

トレンドマイクロでは、本脆弱性に対する Critical Patch (以下、CP) を公開しています。
製品/コンポーネント/ツールバージョン修正Readme
Apex One2019CP 2049Readme

お使いの環境が、対象バージョンに該当するか確認するには、下記FAQの確認方法でご確認をお願いします。
ウイルスバスター コーポレートエディション の製品情報確認方法
ウイルスバスター コーポレートエディション の製品情報(ビルド、パターンバージョン、アクティベーションコードなど)確認方法

各製品を最新版へバージョンアップする流れは、下記FAQの確認方法でご確認をお願いします。

注意:上記に記載のないサポート外の旧バージョンをご利用のお客様については、サポート期間内のバージョンへバージョンアップを行うことを強く推奨します。


軽減要素

本脆弱性を利用するには、攻撃者はApex Oneサーバに、ネットワーク経由でアクセスする必要があります。
信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
 

参照情報

CVE-2019-18188
Premium
Internal
評価:
カテゴリ:
SPEC
Solution Id:
000151168
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド