Trend Micro a publié des mises à jour importantes qui comblent une vulnérabilité jugée critique. La vulnérabilité, évaluée par un score CVSS de 9,8 sur 10, se trouve dans le logiciel de protection des serveurs de fichiers et des systèmes de stockage en réseau (NAS) FileProtect et pourrait être exploitée par un attaquant distant pour contourner complètement les mécanismes d’authentification de l’installation FileProtect concernée.

Selon un avis sur CVE-2021-36745 de la Zero Day Initiative, qui a signalé la vulnérabilité à Trend Micro, la vulnérabilité se trouve dans la console de gestion ServerProtect. La saisie au cours de l’authentification ne serait pas validée correctement. Bien que des exploitations de cette vulnérabilité n’aient probablement pas encore été observées dans la nature, Trend Micro conseille de procéder à une mise à jour dès que possible.

Versions vulnérables informations complémentaires

Selon Trend Micro, les produits et plateformes suivants sont vulnérables via CVE-2021-36745 :

• ServerProtect for Storage (SPFS) pour les produits suivants Windows sur Version 6.0
• ServerProtect pour EMC Celerra (SPEMC) en Version 5.8
• ServerProtect for Network Appliance Filers (SPNAF, NetApp) en Version 5.8
• ServerProtect pour Microsoft Windows / Novell Netware (SPNT), Version 5.8

Un aperçu des versions sécurisées et des liens de téléchargement est disponible dans le bulletin de sécurité de Trend Micro.