Vulnérabilités dans Trend Micro InterScan Web Security Virtual Appliance

Plusieurs vulnérabilités critiques ont été corrigées dans Trend Micro InterScan Web Security Virtual Appliance.

CVE-2020-8461[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une faille dans la mécanisme de protection contre les attaques de type CSRF. Dans certains cas, le jeton de validité de la requête n’est pas vérifié. Un attaquant distant et non-authentifié peut forcer le navigateur d’un utilisateur légitime à envoyer une requête malveillante encodée spécifiquement.

CVE-2020-8463[Score CVSS v3 : 7.5] : Un attaquant distant et non-authentifié peut potentiellement outrepasser la procédure de vérification pour les utilisateurs anonymes en manipulant certains chemins d’accès.

CVE-2020-8464[Score CVSS v3 : 7.5] : Un attaquant distant et non-authentifié peut potentiellement envoyer des requêtes en se faisant passer pour l’hôte local du dispositif. Il peut alors être en mesure d’accéder à des données de l’interface administrateur du logiciel.

CVE-2020-8465[Score CVSS v3 : 9.8] : En exploitant les CVE-2020-8461 et CVE-2020-8464, un attaquant distant et non-authentifié peut potentiellement manipuler les mises à jour système afin d’injecter du code arbitraire avec les privilèges racines.

CVE-2020-8466[Score CVSS v3 : 9.8] : Une vulnérabilité permettant une injection de commandes arbitraires a été corrigée. Lorsque la méthode d’amélioration de hashage est activée, un attaquant peut potentiellement entrer un mot de passe avec une syntaxe spécifique afin d’exécuter certaines commandes.