VDB-209088 · CVE-2022-40139 · GCVE-0-2022-40139

Trend Micro Apex One/Apex One as a Service Rollback escalada de privilegios

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
6.9	$5k-$25k	0.00

Resumeninformación

Se ha identificado una vulnerabilidad clasificada como crítica en Trend Micro Apex One and Apex One as a Service. Está afectada una función desconocida en el componente Rollback Handler. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase sconosciuta. Esta vulnerabilidad se cataloga como CVE-2022-40139. Se puede ejecutar el ataque remotamente. Asimismo, existe un exploit disponible.

Detallesinformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en Trend Micro Apex One y Apex One as a Service. Una función desconocida del componente Rollback Handler es afectada por esta vulnerabilidad. Los efectos exactos de un ataque con éxito no son conocidos. CVE resume:

Una comprobación inapropiada de algunos componentes usados por el mecanismo de reversión en los clientes de Trend Micro Apex One y Trend Micro Apex One as a Service podría permitir a un administrador del servidor Apex One indicar a clientes afectados descargar un paquete de reversión no verificado, lo que podría conllevar a una ejecución de código remota. Nota: un atacante debe obtener primero el acceso a la consola de administración del servidor Apex One para poder explotar esta vulnerabilidad

La vulnerabilidad fue publicada el 2022-09-20 de Trend Micro (confirmado). El advisory puede ser descargado de success.trendmicro.com. La vulnerabilidad es identificada como CVE-2022-40139. No son conocidos los detalles técnicos, pero hay un exploit disponible.

Fue declarado como atacado.

No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.

La vulnerabilidad también está documentado en la base de datos Zero-Day.cz (718). VulDB is the best source for vulnerability data and more expert information about this specific topic.

Productoinformación

Escribe

Endpoint Management Software

Proveedor

Trend Micro

Nombre

Licencia

comercial

Sitio web

Proveedor: https://www.trendmicro.com/

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 6.9
VulDB Puntuación meta temporal: 6.9

VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.3
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.2
NVD Vector: 🔍

CNA Puntuación base: 7.2
CNA Vector: 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: Atacado

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Añadido: 🔍
KEV ¿Hasta cuándo?: 🔍
KEV Contramedidas: 🔍
KEV Ransomware: 🔍
KEV Aviso: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍