CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19692
https://notcve.org/view.php?id=CVE-2019-19692
Trend Micro Apex One (2019) is affected by a cross-site scripting (XSS) vulnerability on the product console. Note that the Japanese version of the product is NOT affected. Trend Micro Apex One (2019) está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en la consola del producto. Tenga en cuenta que la versión japonesa del producto NO está afectada. • https://success.trendmicro.com/solution/000159569 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19691
https://notcve.org/view.php?id=CVE-2019-19691
A vulnerability in Trend Micro Apex One and OfficeScan XG could allow an attacker to expose a masked credential key by manipulating page elements using development tools. Note that the attacker must already have admin/root privileges on the product console to exploit this vulnerability. Una vulnerabilidad en Trend Micro Apex One y OfficeScan XG, podría permitir a un atacante exponer una clave de credencial enmascarada mediante la manipulación de elementos de la página utilizando herramientas de desarrollo. Tenga en cuenta que el atacante ya debe tener privilegios de administrador/root en la consola del producto para explotar esta vulnerabilidad. • https://success.trendmicro.com/solution/000159568 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-18188
https://notcve.org/view.php?id=CVE-2019-18188
Trend Micro Apex One could be exploited by an attacker utilizing a command injection vulnerability to extract files from an arbitrary zip file to a specific folder on the Apex One server, which could potentially lead to remote code execution (RCE). The remote process execution is bound to the IUSR account, which has restricted permission and is unable to make major system changes. An attempted attack requires user authentication. Trend Micro Apex One podría ser explotado por parte de un atacante utilizando una vulnerabilidad de inyección de comandos para extraer archivos desde un archivo zip arbitrario hacia una carpeta específica en el servidor de Apex One, lo que podría conllevar potencialmente a la ejecución de código remota (RCE). La ejecución del proceso de forma remota está vinculada a la cuenta IUSR, que presenta permiso restringido y no es capaz de realizar cambios mayores en el sistema. • https://success.trendmicro.com/solution/000151731 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 0%CPEs: 7EXPL: 0CVE-2019-18189
https://notcve.org/view.php?id=CVE-2019-18189
A directory traversal vulnerability in Trend Micro Apex One, OfficeScan (11.0, XG) and Worry-Free Business Security (9.5, 10.0) may allow an attacker to bypass authentication and log on to an affected product's management console as a root user. The vulnerability does not require authentication. Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones 11.0, XG) y Worry-Free Business Security (en versiones 9.5, 10.0) puede permitir a un atacante omitir una autenticación e iniciar sesión en la consola de administración de un producto afectado como un usuario root. La vulnerabilidad no requiere de autenticación. • https://success.trendmicro.com/solution/000151732 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0CVE-2019-9489
https://notcve.org/view.php?id=CVE-2019-9489
A directory traversal vulnerability in Trend Micro Apex One, OfficeScan (versions XG and 11.0), and Worry-Free Business Security (versions 10.0, 9.5 and 9.0) could allow an attacker to modify arbitrary files on the affected product's management console. Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones XG y 11.0) y Worry-Free Business Security (en versiones 10.0, 9.5 y 9.0) podría permitir que un atacante modifique archivos arbitrarios en la consola de gestión del producto afectado. • https://success.trendmicro.com/jp/solution/1122253 https://success.trendmicro.com/solution/1122250 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •