Trend Micro, Mobile Security for Enterprise 9.8 ürün paketindeki sekiz CVE’nin ayrıntılarını açıkladı ve bunlardan üçü kritik önem derecesine sahip.
Hatalardan bazıları Zero Day Initiative (ZDI) aracılığıyla keşfedildi, diğerleri ise STAR Labs ve Tenable Security’den Poh Jia Hao tarafından Trend Micro’ya bildirildi.
ZDI tavsiyeleri, her ikisi de kimlik doğrulama atlama hataları olan CVE-2023-32523 ve CVE-2023-32524’ü kritik güvenlik açıkları olarak tanımlar.
Her ikisi de uzaktaki saldırganlar tarafından istismar edilebilir.
ZDI’ya göre, hata “web/widget yolu içinde tanımlanan WFUser sınıfında bulunuyor” ve yanlış bir kimlik doğrulama uygulaması.
Trend Micro’nun yalnızca kimliği doğrulanmamış dosya silme güvenlik açığı olarak tanımladığı CVE-2023-32521 de kritik olarak derecelendirildi.
Trend Micro ayrıca, muhtemelen diğer güvenlik açıklarıyla zincirlenebileceğini söylediği CVE-2023-32523 ve CVE-2023-32524 olmak üzere daha düşük dereceli iki uzaktan kimlik doğrulama bypass’ı önerdi.