NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2020-15602

概要	An untrusted search path remote code execution (RCE) vulnerability in the Trend Micro Secuity 2020 (v16.0.0.1146 and below) consumer family of products could allow an attacker to run arbitrary code on a vulnerable system. As the Trend Micro installer tries to load DLL files from its current directory, an arbitrary DLL could also be loaded with the same privileges as the installer if run as Administrator. User interaction is required to exploit the vulnerbaility in that the target must open a malicious directory or device.
公表日	2020年7月16日5:15
登録日	2021年1月26日11:53
最終更新日	2024年11月21日14:05

CVSS3.1 : HIGH
スコア	7.8
ベクター	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	6.9
ベクター	AV:L/AC:M/Au:N/C:C/I:C/A:C
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:trendmicro:antivirus\+_2020::::::::			16.0.1146
cpe:2.3:a:trendmicro:internet_security_2020::::::::			16.0.1146
cpe:2.3:a:trendmicro:maximum_security_2020::::::::			16.0.1146
cpe:2.3:a:trendmicro:premium_security_2020::::::::			16.0.1146
実行環境
1	cpe:2.3:o:microsoft:windows:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://helpcenter.trendmicro.com/en-us/article/TMKA-09644		Vendor Advisory
2	https://helpcenter.trendmicro.com/en-us/article/TMKA-09644		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-426	信頼性のない検索パス	https://cwe.mitre.org/data/definitions/426.html

JVN脆弱性情報

トレンドマイクロ株式会社製のウイルスバスタークラウドのインストーラにおける DLL 読み込みに関する脆弱性

タイトル	トレンドマイクロ株式会社製のウイルスバスタークラウドのインストーラにおける DLL 読み込みに関する脆弱性
概要	トレンドマイクロ株式会社が提供するウイルスバスタークラウドのインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
想定される影響	インストーラを実行している権限で、任意のコードを実行される可能性があります。
対策	[最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。なお、本脆弱性の影響を受けるのはインストーラ起動時のみです。すでに製品をインストール済みの場合は影響を受けません。
公表日	2020年8月6日0:00
登録日	2020年8月7日10:53
最終更新日	2020年8月7日10:53

影響を受けるシステム

トレンドマイクロ

ウイルスバスタークラウドバージョン15

ウイルスバスタークラウドバージョン16、v16.0.1146 およびそれ以前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-15602	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15602
National Vulnerability Database (NVD)
2	CVE-2020-15602	https://nvd.nist.gov/vuln/detail/CVE-2020-15602

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-426	https://cwe.mitre.org/data/definitions/426.html
2	CWE-427	https://cwe.mitre.org/data/definitions/427.html

ベンダー情報

No	名前	URL
Trend Micro
1	アラート/アドバイザリ：ウイルスバスタークラウドの脆弱性について(CVE-2020-15602)	https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09644

その他

No	名前	URL
JVN
1	JVNTA#91240916	https://jvn.jp/ta/JVNTA91240916/index.html
2	JVNVU#98423028	http://jvn.jp/cert/JVNVU98423028

変更履歴

No	変更内容	変更日
1	[2020年08月07日] 掲載	2020年8月7日10:53