InterScan Web Securityシリーズにおけるキャプティブポータル機能の脆弱性について：サポート情報 : トレンドマイクロ＠ IWSSの専用認証Web画面で反射型XSSの脆弱性。VA 6.5は既にパッチリリース済みだが、IWSS 6.5は7月リリース予定、回避策を適用した方が良さそう

InterScan Web Securityシリーズにおけるキャプティブポータル機能の脆弱性について：サポート情報 : トレンドマイクロ

InterScan Web Security Virtual Appliance(以下、IWSVA)/InterScan Web Security Suite(以下、IWSS) Linux版において、キャプティブポータル機能に関する脆弱性が確認されております。

■脆弱性の概要
以下、1件の脆弱性が確認されています。
攻撃者がこれらの脆弱性を利用するには、IWSVA/IWSSサーバのホスト名/IPアドレスの情報を入手し、IWSVA/IWSSサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。

・CVE-2021-31521(CVSS3.0スコア:6.3 深刻度:中)
IWSVA/IWSSが用意する専用認証画面である"キャプティブポータル"に、反射型クロスサイトスクリプティングの脆弱性があります。

■対処方法
リスク低減策として、ネットワークファイアウォールの機能等でIWSVA/IWSSサーバにアクセス可能なクライアントを制限するようお願いいたします。また、恒久対策として、これらの脆弱性を修正するCritical Patchを順次提供しております。
脆弱性の情報含め、詳細につきましては以下のQ&Aページをご参照ください。
製品Q&A : アラート/アドバイザリ：InterScan Web Securityシリーズにおけるキャプティブポータル機能の脆弱性について
サポート情報 : トレンドマイクロ

Critical Patch 提供状況

製品名リリース日備考

InterScan Web Security Virtual Appliance 6.5 2021年6月8日リリース済み Service Pack 2 Patch 4 Critical Patch 1780が対象のCritical Patchとなります。
こちらからダウンロード可能です。
https://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1371

InterScan Web Security Suite 6.5 Linux版 2021年7月リリース予定 Patch 2 のCritical Patchとしてリリース予定です。

Q&A | Trend Micro Business Support

製品名	リリース日	備考
InterScan Web Security Virtual Appliance 6.5	2021年6月8日リリース済み	Service Pack 2 Patch 4 Critical Patch 1780が対象のCritical Patchとなります。こちらからダウンロード可能です。 https://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1371
InterScan Web Security Suite 6.5 Linux版	2021年7月リリース予定	Patch 2 のCritical Patchとしてリリース予定です。