CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9492
https://notcve.org/view.php?id=CVE-2019-9492
A DLL side-loading vulnerability in Trend Micro OfficeScan 11.0 SP1 and XG could allow an authenticated attacker to gain code execution and terminate the product's process - disabling endpoint protection. The attacker must have already gained authentication and have local access to the vulnerable system. Una vulnerabilidad de carga lateral de DLL en OfficeScan de Trend Micro versión 11.0 SP1 y XG, podría permitir a un atacante autenticado conseguir la ejecución de código y terminar el proceso del producto, deshabilitando la protección del endpoint. El atacante debe haber conseguido la autenticación y tener acceso local al sistema vulnerable. • https://success.trendmicro.com/solution/1123045 https://www.nsslabs.com/blog-posts/2019/7/24/your-advanced-endpoint-protection-aep-product-protects-your-computer-but-can-it-protect-itself • CWE-426: Untrusted Search Path •
CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0CVE-2019-9489
https://notcve.org/view.php?id=CVE-2019-9489
A directory traversal vulnerability in Trend Micro Apex One, OfficeScan (versions XG and 11.0), and Worry-Free Business Security (versions 10.0, 9.5 and 9.0) could allow an attacker to modify arbitrary files on the affected product's management console. Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones XG y 11.0) y Worry-Free Business Security (en versiones 10.0, 9.5 y 9.0) podría permitir que un atacante modifique archivos arbitrarios en la consola de gestión del producto afectado. • https://success.trendmicro.com/jp/solution/1122253 https://success.trendmicro.com/solution/1122250 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9490
https://notcve.org/view.php?id=CVE-2019-9490
A vulnerability in Trend Micro InterScan Web Security Virtual Appliance version 6.5 SP2 could allow an non-authorized user to disclose administrative credentials. An attacker must be an authenticated user in order to exploit the vulnerability. Una vulnerabilidad en Trend Micro InterScan Web Security Virtual Appliance, en su versión 6.5 SP2, podría permitir a un usuario no autorizado divulgar credenciales administrativas. Un atacante debe ser un usuario autenticado para explotar esta vulnerabilidad. • http://www.securityfocus.com/bid/107848 https://success.trendmicro.com/solution/1122326 •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 4CVE-2018-18333
https://notcve.org/view.php?id=CVE-2018-18333
A DLL hijacking vulnerability in Trend Micro Security 2019 (Consumer) versions below 15.0.0.1163 and below could allow an attacker to manipulate a specific DLL and escalate privileges on vulnerable installations. Una vulnerabilidad de secuestro de DLL en Trend Micro Security 2019 (Consumer), en versiones anteriores a la 15.0.0.1163, podría permitir a un atacante manipular un DLL específico y escalar privilegios en instalaciones vulnerables. • https://github.com/mrx04programmer/Dr.DLL-CVE-2018-18333 https://esupport.trendmicro.com/en-us/home/pages/technical-support/1121932.aspx https://gaissecurity.com/yazi/discovery-of-dll-hijack-on-trend-micro-antivirusplus-cve-2018-18333 https://kaganisildak.com/2019/01/17/discovery-of-dll-hijack-on-trend-micro-antivirus-cve-2018-18333 • CWE-426: Untrusted Search Path •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-18334
https://notcve.org/view.php?id=CVE-2018-18334
A vulnerability in the Private Browser of Trend Micro Dr. Safety for Android (Consumer) versions below 3.0.1478 could allow an remote attacker to bypass the Same Origin Policy (SOP) and obtain sensitive information via crafted JavaScript code on vulnerable installations. Una vulnerabilidad en el navegador privado de Trend Micro Dr. Safety para Android (Consumer), en versiones anteriores a la 3.0.1478, podría permitir a un atacante remoto omitir la política de mismo origen (SOP) y obtener información sensible mediante código JavaScript manipulado en instalaciones vulnerables. • https://esupport.trendmicro.com/en-us/home/pages/technical-support/1121933.aspx • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •