聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周,趋势科技修复了位于 Apex Central 中已遭利用的一个高危任意文件上传 0day(CVE-2022-26871)。
CVE-2022-26871 同时影响集中管理控制台的本地版和软件即服务 (SaaS) 版,CVSS 评分为8.6,是由趋势科技内部研究团队发现的。3月初为 SaaS 版发布补丁后,趋势科技为本地版发布 Patch 3 (Build 6016) 。该公司指出,该漏洞可导致未认证攻击者远程上传任意文件漏洞,从而导致远程代码执行。
趋势科技公司指出,已发现利用该漏洞的尝试,不过“仅限于数量有限的实例”。然而,该公司并未说明攻击详情,“趋势科技发现野外至少存在一次对该漏洞的利用”。虽然利用此类漏洞仅可在一定情况下实现,但该公司建议所有客户尽快更新至已修复版本。
趋势科技还发布针对 Trend Micro Cloud One 和 Trend Micro Deep Discovery Inspector 的一系列IPS规则和过滤,以低于相关利用尝试。
几年来,趋势科技发布多份安全公告,提醒用户影响产品的漏洞遭利用。本周四,CISA 要求联邦机构在相关环境中修复该漏洞,并将它加入“已利用漏洞分类”清单中。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
趋势科技称 Apex One EDR 平台的两个0day已遭在野利用
原文链接
https://www.securityweek.com/trend-micro-patches-apex-central-zero-day-exploited-targeted-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~