「ウイルスバスターコーポレートエディション」「Trend Micro Apex One」などに複数の脆弱性【11月17日追記】

トレンドマイクロのサポートページ

　トレンドマイクロ（株）は11月17日、同社の法人向けセキュリティ製品「ウイルスバスターコーポレートエディション」と「Trend Micro Apex One」に複数の脆弱性が存在することを明らかにした。

　今回発表された脆弱性は、CVE番号ベースで10件。「ウイルスバスターコーポレートエディション XG SP1」と「Apex One 2019」「Apex One SaaS」に影響する。深刻度がもっとも高いのは認証バイパスの問題（CVE-2020-24563）で、権限昇格やコード実行につながる恐れがあるとして“高”（CVSS3.0：7.8）と評価されている。

　この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセス可能であることが要件となるため、信頼されたネットワークからのみアクセスを許可することで悪用のリスクを軽減できる。同社は「ウイルスバスターコーポレートエディション」と「Apex One 2019」をできるだけ早く修正済みの最新ビルドへ更新するよう呼び掛けている。

11月17日18:15追記： トレンドマイクロ（株）は11月17日、「ウイルスバスター ビジネスセキュリティ」および「ウイルスバスター ビジネスセキュリティサービス」にも上記のCVE-2020-24563を含む7件の脆弱性が存在することを発表した。このうち、認証されていないパストラバーサルにより任意のリモートファイルが削除される脆弱性（CVE-2020-28574）は、深刻度が“緊急”（CVSS3.0：10）とされており、できるだけ早く修正済みの最新ビルドへ更新することが推奨されている。