关键漏洞信息 发布日期: 2023年5月16日 CVE标识符: CVE-2023-30902、CVE-2023-32552 至 CVE-2023-32557 平台: Windows CVSS 3.0 评分: 2.9 - 9.8 严重程度: 低 - 严重 漏洞详情 1. CVE-2023-30902: 注册表键特权提升漏洞 - CVSSv3: 2.9 - 描述: Trend Micro Apex One 和 Apex One as a Service 的代理中存在特权提升漏洞,可能导致本地攻击者无意中删除受保护的注册表键。 2. CVE-2023-32552 和 CVE-2023-32553: 不正确的访问控制信息泄露漏洞 - CVSSv3: 6.5 - 描述: Trend Micro Apex One 和 Apex One as a Service 中存在不正确的访问控制漏洞,可能导致未经授权的用户披露敏感信息。 3. CVE-2023-32554 和 CVE-2023-32555: 安全代理时间检查漏洞 - CVSSv3: 7.8 - 描述: 安全代理的时间检查漏洞可能导致本地攻击者提升权限。 4. CVE-2023-32556: 安全代理链接信息泄露漏洞 - CVSSv3: 5.5 - 描述: 安全代理的链接可能泄露敏感信息。 5. CVE-2023-32557: 管理服务器路径遍历未认证远程代码执行漏洞 - CVSSv3: 9.8 - 描述: 任一攻击者可能利用路径遍历漏洞上传任意文件至管理服务器,导致远程代码执行。 解决方案 Apex One: SP1 Critical Patch B12024 Apex One as a Service: April 2023 Maintenance Hotfix - Build 202304 (Security Agent 版本: 14.0.12105) 其他重要信息 Trend Micro 强烈建议客户更新至最新版本以确保解决所有已知问题。 除了应用最新补丁外,还需要在 Apex One 控制台进行一些额外配置设置以防止漏洞利用。 客户被鼓励访问 Trend Micro 的下载中心获取必要的前置软件(例如 Service Packs),再应用上述解决方案。