CVE-2016-6269

🔴 Łataj teraz

Wielokrotne luki w przechodzeniu katalogów w Trend Micro Smart Protection Server pozwalają na zdalne odczytywanie i usuwanie plików.

CVSS

9.1

EPSS

1.8%

Exploit

poc

Vendor

trendmicro

Opis źródłowy (NVD)

Multiple directory traversal vulnerabilities in Trend Micro Smart Protection Server 2.5 before build 2200, 2.6 before build 2106, and 3.0 before build 1330 allow remote attackers to read and delete arbitrary files via the tmpfname parameter to (1) log_mgt_adhocquery_ajaxhandler.php, (2) log_mgt_ajaxhandler.php, (3) log_mgt_ajaxhandler.php or (4) tf parameter to wcs_bwlists_handler.php.

exploit path-traversal Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	9.1
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	1.8%
Opublikowano (NVD)	2017-01-30 22:59:00 UTC
Ostatnia modyfikacja (NVD)	2026-05-13 00:24:29 UTC

Referencje

https://qkaiser.github.io/pentesting/trendmicro/2016/08/08/trendmicro-sps/ (cve@mitre.org) [Exploit, Technical Description, Third Party Advisory]
https://success.trendmicro.com/solution/1114913 (cve@mitre.org) [Mitigation, Patch, Vendor Advisory]