法人向け「ウイルスバスター」にディレクトリトラバーサルの脆弱性、すでに悪用も確認済み

　トレンドマイクロ株式会社は28日、法人向けセキュリティ製品「ウイルスバスターコーポレートエディション」にディレクトリトラバーサルの脆弱性（CVE-2019-18187）が存在することを明らかにした。この脆弱性を悪用した攻撃がすでに確認されているため、修正パッチの早期適用を呼び掛けている。

　脆弱性の影響を受けるのはウイルスバスターコーポレートエディションのバージョン11.0 SP1/XG/XG SP1。脆弱性を悪用することで、攻撃者はアップロードされた任意のZIP形式のファイルを特定のフォルダ配下に展開することが可能になる。想定される影響として、管理コンソールで使用しているウェブサービスアカウントで任意のコードを実行される可能性がある。

　共通脆弱性評価システムCVSS v3のスコアは“8.2”。トレンドマイクロではこの問題に対応した以下の修正プログラムをリリース済みだ。

• ウイルスバスターコーポレートエディション XG SP1 Critical Patch（ビルド5427）
• ウイルスバスターコーポレートエディション XG Critical Patch（ビルド1962）
• ウイルスバスターコーポレートエディション 11.0 Critical Patch（ビルド6638）