CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-8601
https://notcve.org/view.php?id=CVE-2020-8601
Trend Micro Vulnerability Protection 2.0 is affected by a vulnerability that could allow an attack to use the product installer to load other DLL files located in the same directory. Trend Micro Vulnerability Protection versión 2.0, está afectado por una vulnerabilidad que podría permitir que un ataque use el instalador del producto para cargar otros archivos DLL localizados en el mismo directorio. • https://success.trendmicro.com/solution/000241963 • CWE-427: Uncontrolled Search Path Element •
CVSS: 4.7EPSS: 0%CPEs: 6EXPL: 0CVE-2019-19694
https://notcve.org/view.php?id=CVE-2019-19694
The Trend Micro Security 2019 (15.0.0.1163 and below) consumer family of products is vulnerable to a denial of service (DoS) attack in which a malicious actor could manipulate a key file at a certain time during the system startup process to disable the product's malware protection functions or the entire product completely.. La familia de productos del consumidor de Trend Micro Security 2019 (versiones 15.0.0.1163 y posteriores), es vulnerable a un ataque de denegación de servicio (DoS) en el que un actor malicioso podría manipular un archivo clave en un momento determinado durante el proceso de inicio del sistema para deshabilitar las funciones de protección de malware del producto o todo el producto por completo. • https://esupport.trendmicro.com/en-us/home/pages/technical-support/1124056.aspx https://esupport.trendmicro.com/support/vb/solution/ja-jp/1124058.aspx https://jvn.jp/en/jp/JVN02921757 https://jvn.jp/jp/JVN02921757 •
CVSS: 7.0EPSS: 0%CPEs: 12EXPL: 0CVE-2019-14688
https://notcve.org/view.php?id=CVE-2019-14688
Trend Micro has repackaged installers for several Trend Micro products that were found to utilize a version of an install package that had a DLL hijack vulnerability that could be exploited during a new product installation. The vulnerability was found to ONLY be exploitable during an initial product installation by an authorized user. The attacker must convince the target to download malicious DLL locally which must be present when the installer is run. Trend Micro ha reempaquetado instaladores para varios productos de Trend Micro que usaron una versión de un paquete de instalación que tenía una vulnerabilidad de secuestro de DLL, que podría ser explotada durante la instalación de un nuevo producto. Se encontró que la vulnerabilidad SOLO es explotable durante la instalación inicial del producto por parte de un usuario autorizado. • https://success.trendmicro.com/solution/1123562 • CWE-427: Uncontrolled Search Path Element •
CVSS: 7.8EPSS: 1%CPEs: 2EXPL: 0CVE-2019-20358 – TrendMicro Anti-Threat Toolkit Improper Fix
https://notcve.org/view.php?id=CVE-2019-20358
Trend Micro Anti-Threat Toolkit (ATTK) versions 1.62.0.1218 and below have a vulnerability that may allow an attacker to place malicious files in the same directory, potentially leading to arbitrary remote code execution (RCE) when executed. Another attack vector similar to CVE-2019-9491 was idenitfied and resolved in version 1.62.0.1228 of the tool. Trend Micro Anti-Threat Toolkit (ATTK) versiones 1.62.0.1218 y por debajo, presenta una vulnerabilidad que puede permitir a un atacante colocar archivos maliciosos en el mismo directorio, conllevando potencialmente a una ejecución de código remota (RCE) arbitraria cuando se ejecuto. Otro vector de ataque similar al CVE-2019-9491 se identificó y resolvió en la versión 1.62.0.1228 de la herramienta. • http://seclists.org/fulldisclosure/2020/Jan/50 https://seclists.org/bugtraq/2020/Jan/55 https://success.trendmicro.com/solution/000149878 • CWE-426: Untrusted Search Path CWE-427: Uncontrolled Search Path Element CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19696
https://notcve.org/view.php?id=CVE-2019-19696
A RootCA vulnerability found in Trend Micro Password Manager for Windows and macOS exists where the localhost.key of RootCA.crt might be improperly accessed by an unauthorized party and could be used to create malicious self-signed SSL certificates, allowing an attacker to misdirect a user to phishing sites. Se presenta una vulnerabilidad de RootCA en Trend Micro Password Manager para Windows y macOS, en donde una parte no autorizada puede acceder inapropiadamente a localhost.key de RootCA.crt y podría ser usado para crear certificados SSL maliciosos autofirmados, permitiendo a un atacante desviar un usuario hacia sitios de phishing. • https://esupport.trendmicro.com/en-us/home/pages/technical-support/1124092.aspx https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx https://jvn.jp/en/jp/JVN37183636/index.html https://jvn.jp/jp/JVN37183636/index.html • CWE-522: Insufficiently Protected Credentials •