28 de mayo de 2016

VULNERABILIDAD. Acceso a archivos arbitrarios a través de Trend Micro OfficeScan

Se ha anunciado una vulnerabilidad en Trend Micro OfficeScan 11.0 SP1 que podría permitir a un atacante remoto visualizar cualquier archivo del sistema afectado.
Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.
El problema reside en una escalada de directorios a través de la manipulación de ciertas variables que podría permitir a un atacante obtener acceso a archivos y carpetas fuera de la carpeta raíz del núcleo del sitio web del servidor OfficeScan.
Recomendación
Más información:
Fuente: Hispasec