脆弱性の影響を受ける製品/コンポーネント/ツール

脆弱性の概要

CVE-2023-32521: 認証されていないパストラバーサルによる任意のファイル削除の脆弱性
CVSSv3.1: 9.1: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Trend Micro Mobile Security 9.8 SP5の特定のモジュールに、認証されていない攻撃者が任意のファイルを削除することを可能にする脆弱性が存在します。

CVE-2023-32522: 認証されたパストラバーサルによる任意のファイル削除の脆弱性
CVSSv3.1: 8.1: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Trend Micro Mobile Security 9.8 SP5の特定のモジュールに、認証されたリモート攻撃者が任意のファイルを削除することを可能にする脆弱性が存在します。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2023-32523 および 32524: 認証バイパスの脆弱性 
ZDI-CAN-19721 and ZDI-CAN-19722
CVSSv3: 6.0: AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L
Trend Micro Mobile Security 9.8 SP5で認証バイパスによるリモートからのアクセスが可能なウィジェットが存在します。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2023-32525 および 32526: 許可されていない権限でファイルをアップロードできる脆弱性
ZDI-CAN-20179 and ZDI-CAN-20182
CVSSv3: 6.5: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Trend Micro Mobile Security 9.8 SP5でリモート攻撃者が任意のファイルを作成できるウィジェットが存在します。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2023-32527 および 32528: ローカルファイルインクルージョンによるリモートからの任意のコマンド実行 
ZDI-CAN-20180 and ZDI-CAN-20181
CVSSv3: 7.7: AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L
Trend Micro Mobile Security 9.8 SP5にリモートコード実行を可能にする脆弱性が含まれる.phpファイルが存在します。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
 

軽減要素

この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
 

参照情報

• Tenable Security: TRA-434 (CVE-2023-32521 and 32522)
• ZDI-CAN-19721
• ZDI-CAN-19722
• ZDI-CAN-20179
• ZDI-CAN-20182
• ZDI-CAN-20180
• ZDI-CAN-20181
• 参照: Trend Micro's Zero Day Initiative Published Advisories

更新情報

• 2023年5月12日　公開