close
聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
該漏洞的編號是CVE-2022-40139,是與回滾函數相關的一個驗證不當問題,可導致代理下載未認證的回滾組件並執行任意代碼。該高危漏洞僅可遭可登陸至該產品的管理面板的攻擊者利用。
趨勢科技指出,「由於攻擊者之前必須竊取產品管理面板的認證信息,因此僅利用該漏洞無法滲透目標網絡。」
目前趨勢科技並未發布關於利用CVE-2022-40139漏洞的攻擊活動信息。
威脅行動者利用趨勢科技產品漏洞的情況並不少見,過去幾年來就曾發生過多起攻擊。這些安全漏洞似乎多數被用於針對性攻擊中。除了該漏洞外,Apex One 還修復了其它三個高危漏洞和兩個中危漏洞。其中最嚴重的是CVE-2022-40144,可導致攻擊者使用特殊構造的請求繞過認證。從理論上來講,攻擊者可組合利用這些漏洞和上述0day滿足認證要求,不過趨勢科技並未提到CVE-2022-40144已遭攻擊。
趨勢科技修復的其它漏洞可用於提升權限、發動拒絕服務攻擊並獲取目標服務器的信息。
從CISA列出的「已知的已遭利用漏洞類別「中可知,過去已收錄8個其它已遭在野利用的漏洞,其中多數影響 Apex產品。
https://www.securityweek.com/trend-micro-patches-another-apex-one-vulnerability-exploited-attacks
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
全站熱搜
留言列表