Global Preloader
Vulnerabilidad
(22/Feb/2018) Trend Micro corrige las vulnerabilidades graves en Email Encryption Gateway

Trend Micro corrige las vulnerabilidades graves en Email Encryption Gateway

Trend Micro ha corregido una gran cantidad de vulnerabilidades en su solución Email Encryption Gateway.

Trend Micro Encryption for Email Gateway (TMEEG) es una aplicación que permite cifrar y descifrar el correo electrónico en un gateway corporativo, independientemente del cliente de correo electrónico.

Las vulnerabilidades han sido descubiertas y reveladas en forma privada a la compañía en junio de 2017 por Leandro Barragán y Maximiliano Vidal (Servicios centrales de consultoría de seguridad).

La lista incluye doce vulnerabilidades con números CVE separados, y su gravedad varía de baja a crítica:

CVE-2018-6219: Actualización insegura a través de HTTP (CVSS 7.5).
CVE-2018-6220: Escritura arbitraria de archivos que conduce a la ejecución del comando (CVSS 7.5).
CVE-2018-6221: Actualizaciones de software no validadas (CVSS 7.5).
CVE-2018-6222: Ubicaciones de registros arbitrarios que conducen a la ejecución de comandos (CVSS 7.2).
CVE-2018-6223: Falta de autenticación para el registro del dispositivo (CVSS 9.1).
CVE-2018-6225: Inyección de entidad externa XML en una secuencia de comandos de configuración (CVSS 5.5).
CVE-2018-6226: Scripts reflejados entre sitios en dos scripts de configuración (CVSS 7.4).
CVE-2018-6227: Scripts almacenados entre sitios en un script de políticas (CVSS 7.4).
CVE-2018-6228: Inyección de SQL en un script de política (CVSS 4.9).
CVE-2018-6229: Inyección SQL en un script de política de edición (CVSS 6.5)
CVE-2018-6224: Falta de protección contra falsificación de solicitudes entre sitios (CVSS 6.8)
CVE-2018-6230: Inyección SQL en un script de configuración de búsqueda (CVSS 3.8).

La compañía aconseja a los administradores implementar la actualización ofrecida y asegurarse de que solo se puede acceder a la consola web a través de la intranet de la compañía y solo a través de los usuarios que necesitan poder acceder a ella.