Trend Micro Mobile Security for Enterprise eas_agent_register SQL Injection RCE (CVE-2017-14078)

关键漏洞信息 漏洞名称：Trend Micro Mobile Security for Enterprise eas_agent_register SlinkId SQL Injection Remote Code Execution Vulnerability 漏洞编号： - ZDI-17-800 - ZDI-CAN-4797 - CVE-2017-14078 CVSS评分：10.0, AV:N/AC:L/Au:N/C:C/I:C/A:C 受影响厂商：Trend Micro 受影响产品：Mobile Security for Enterprise 漏洞详情： - 该漏洞允许远程攻击者在易受攻击的Trend Micro Mobile Security for Enterprise安装上执行任意代码。利用此漏洞不需要身份验证。 - 在处理eas_agent_register动作时存在特定的缺陷。当解析'slink_id'字段时，该过程在构造SQL查询之前没有正确验证用户提供的字符串。攻击者可以利用此漏洞以SYSTEM权限执行任意代码。 Trend Micro客户服务保护： - Trend Micro TippingPoint IPS客户通过Digital Vaccine保护过滤器ID['28310']受到此漏洞保护。 额外详情：Trend Micro已发布更新以修复此漏洞，更多详情请访问：https://success.trendmicro.com/solution/1118224 披露时间线： - 2017-05-09 - 漏洞报告给供应商 - 2017-09-15 - 协调公开发布咨询 贡献者：Steven Seeley (mr_me) of Offensive Security & Roberto Suggi Liverani - @malerisch - http://blog.malerisch.net/

目標達成 すべての支援者に感謝 — 100%達成しました！

Trend Micro Mobile Security for Enterprise eas_agent_register SQL Injection RCE (CVE-2017-14078)

目標達成すべての支援者に感謝 — 100%達成しました！