CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0CVE-2019-9489
https://notcve.org/view.php?id=CVE-2019-9489
A directory traversal vulnerability in Trend Micro Apex One, OfficeScan (versions XG and 11.0), and Worry-Free Business Security (versions 10.0, 9.5 and 9.0) could allow an attacker to modify arbitrary files on the affected product's management console. Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones XG y 11.0) y Worry-Free Business Security (en versiones 10.0, 9.5 y 9.0) podría permitir que un atacante modifique archivos arbitrarios en la consola de gestión del producto afectado. • https://success.trendmicro.com/jp/solution/1122253 https://success.trendmicro.com/solution/1122250 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15364 – Trend Micro OfficeScan Named Pipe Request Processing Out-Of-Bounds Read Information Disclosure Vulnerability
https://notcve.org/view.php?id=CVE-2018-15364
A Named Pipe Request Processing Out-of-Bounds Read Information Disclosure vulnerability in Trend Micro OfficeScan XG (12.0) could allow a local attacker to disclose sensitive information on vulnerable installations. An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit the vulnerability. Una vulnerabilidad de procesamiento de peticiones de tuberías nombradas, lectura fuera de límites y divulgación de información en Trend Micro OfficeScan XG (12.0) podría permitir que un atacante local revele información sensible en instalaciones vulnerables. En primer lugar, un atacante debe obtener la habilidad para ejecutar código de bajos privilegios en el sistema objetivo para explotar esta vulnerabilidad. This vulnerability allows local attackers to disclose sensitive information on vulnerable installations of Trend Micro OfficeScan. • https://success.trendmicro.com/solution/1120678 https://www.zerodayinitiative.com/advisories/ZDI-18-964 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 10.0EPSS: 2%CPEs: 9EXPL: 0CVE-2018-3608
https://notcve.org/view.php?id=CVE-2018-3608
A vulnerability in Trend Micro Maximum Security's (Consumer) 2018 (versions 12.0.1191 and below) User-Mode Hooking (UMH) driver could allow an attacker to create a specially crafted packet that could alter a vulnerable system in such a way that malicious code could be injected into other processes. Una vulnerabilidad en el controlador UMH (User-Mode Hooking) en Trend Micro Maximum Security (Consumer) 2018 (en versiones 12.0.1191 y anteriores) podría permitir que un atacante cree un paquete especialmente manipulado que podría alterar un sistema vulnerable de forma que se pueda inyectar código malicioso en otros procesos. • http://esupport.trendmicro.com/support/vb/solution/ja-jp/1120144.aspx https://esupport.trendmicro.com/en-US/home/pages/technical-support/1120237.aspx • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-10509
https://notcve.org/view.php?id=CVE-2018-10509
A vulnerability in Trend Micro OfficeScan 11.0 SP1 and XG could allow a attacker to exploit it via a Browser Refresh attack on vulnerable installations. An attacker must be using a AD logon user account in order to exploit this vulnerability. Una vulnerabilidad en Trend Micro OfficeScan 11.0 SP1 y XG podría permitir que un atacante lo explote mediante un ataque de actualización de navegador en instalaciones vulnerables. El atacante debe emplear una cuenta de usuario AD logon para explotar esta vulnerabilidad. • https://success.trendmicro.com/solution/1119961 •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-10508
https://notcve.org/view.php?id=CVE-2018-10508
A vulnerability in Trend Micro OfficeScan 11.0 SP1 and XG could allow a attacker to use a specially crafted URL to elevate account permissions on vulnerable installations. An attacker must already have at least guest privileges in order to exploit this vulnerability. Una vulnerabilidad en Trend Micro OfficeScan 11.0 SP1 y XG podría permitir que un atacante emplee una URL especialmente manipulada para elevar los permisos de la cuenta en instalaciones vulnerables. El atacante tiene que tener al menos privilegios de invitado para explotar esta vulnerabilidad. • https://success.trendmicro.com/solution/1119961 •