趋势科技修复已被积极利用的 Apex One 零日漏洞

Hackernews 编译，转载请注明出处：

趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。

CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。

趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息，因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击（CVE-2022-40139）。我们建议尽快更新到最新版本。”

该公司指出，只有有权访问身份验证数据的攻击者才能利用该漏洞。

趋势科技没有分享利用此漏洞进行攻击的详细信息。

以下是安全公司解决的漏洞列表：

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文