企業向け「ウイルスバスター」製品に再びディレクトリトラバーサルの脆弱性

トレンドマイクロのサポート情報

　トレンドマイクロ（株）は10月28日、企業向け「ウイルスバスター」製品でディレクトリトラバーサルの脆弱性（CVE-2019-18187）が発見されたことを明らかにした。本脆弱性をついた攻撃も確認されており、できるだけ早く“Critical Patch（CP）”を適用するよう呼び掛けている。

　同社によると、「ウイルスバスター コーポレートエディション」のv11.0 SP1/XG/XG SP1には、パスの検証処理の不備により、本来アクセスできないはずのフォルダーへファイルをアップロードできてしまう、いわゆるディレクトリトラバーサルの脆弱性が存在する。最悪の場合、悪意のあるZIPファイルの展開でシステムが書き換えられ、管理コンソールで使用しているWebサービスのアカウントで任意コードを実行される可能性がある。

　JVNの脆弱性レポート（JVNVU#96213168）によると、本脆弱性の評価は“CVSS v3”の基本値で“8.2”、“CVSS v2”の基本値で“5.2”。問題への対策を実施するには、以下のパッチを適用する必要がある。

• ウイルスバスター コーポレートエディション XG Service Pack 1 Critical Patch (ビルド 5427)
• ウイルスバスター コーポレートエディション XG Patch 1 Critical Patch (ビルド 1962)
• ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch (ビルド 6638)

　同社の企業向け製品に関しては、先月もディレクトリトラバーサルの脆弱性を悪用した攻撃事例が確認されている。