关键漏洞信息 漏洞概述 标题: Trend Micro Mobile Security for Enterprise delete_devices Device_Deviceld SQL Injection Remote Code Execution Vulnerability ID: ZDI-17-743, ZDI-CAN-4646 CVE ID: CVE-2017-14078 CVSS 评分: 9.0 (AV:N/AC:L/Au:S/C:C/I:C/A:C) 影响范围 受影响厂商: Trend Micro 受影响产品: Mobile Security for Enterprise 漏洞细节 描述: 此漏洞允许远程攻击者在易受攻击的Trend Micro Mobile Security for Enterprise安装上执行任意代码。利用此漏洞需要进行身份验证。 具体问题: 问题存在于处理 操作的过程中。在解析 字段时,未正确验证用户提供的字符串,导致可以构造SQL查询。攻击者可利用此漏洞在SYSTEM上下文中执行任意代码。 保护措施 Trend Micro 客户保护: Trend Micro TippingPoint IPS客户通过Digital Vaccine保护过滤器ID['28286']受到保护。 详细信息: http://www.tippingpoint.com 补丁及时间线 修复措施: Trend Micro已发布更新修复此漏洞。详情参见: https://success.trendmicro.com/solution/1118224 披露时间线: - 2017-05-09 - 向厂商报告漏洞 - 2017-09-15 - 协调公开发布咨询 致谢 发现者: Roberto Suggi Liverani - @malerisch - http://blog.malerisch.net/ & Steven Seeley (mr_me) of Offensive Security