Trend Micro a publié en urgence des correctifs de sécurité pour combler six vulnérabilités critiques affectant ses solutions de sécurité pour entreprises, notamment Apex Central, Endpoint Encryption et PolicyServer. Ces failles pouvaient permettre l’exécution de code à distance, la suppression arbitraire de fichiers ou la manipulation de composants internes. Référencées sous les identifiants CVE-2024-29291 à CVE-2024-29296, elles ont reçu des scores de sévérité allant jusqu’à 9.8 sur l’échelle CVSS. Les versions Windows et Linux sont concernées, avec un scénario critique dans lequel un attaquant non authentifié peut exécuter des commandes sur un système vulnérable. Trend Micro a précisé que les failles ont été découvertes en interne et qu’aucune exploitation active n’a été détectée à ce jour. Il est vivement recommandé aux clients d’appliquer les mises à jour immédiatement.
Analyse de nos experts :
Révéler plusieurs vulnérabilités critiques dans des produits censés protéger les entreprises, c’est un paradoxe brutal. Des solutions comme Apex Central ou Endpoint Encryption sont présentées comme des forteresses. Pourtant, ces failles en font potentiellement des portes d’entrée. Le fait que Trend Micro ait découvert ces failles en interne est un point positif, mais cela n’efface pas l’erreur de conception qui a permis l’existence de chemins d’exécution non contrôlés. En 2025, les entreprises ne peuvent plus faire confiance à des solutions qui échouent à appliquer les règles se sécurité. L’infrastructure critique mérite une pensée critique, pas des CVE critiques.
Lire l’article complet ici.
