JVNVU#90583059
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性（2026年5月）
緊急

トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数の脆弱性が存在します。

• TrendAI Apex One（オンプレミス版）
  • サーバ：Build 17079より前
  • セキュリティエージェント：Agent Build 14.0.17079より前
• Trend Micro Apex One as a Service
  • サーバ：2026年4月のメンテナンスより前
  • セキュリティエージェント：Agent Build 14.0.20731より前
• TrendAI Vision One Endpoint Security - Standard Endpoint Protection
  • サーバ：2026年4月のメンテナンスより前
  • セキュリティエージェント：Agent Build 14.0.20731より前

トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、次の複数の脆弱性が存在します。 

• Apex Oneサーバにおける相対パストラバーサル（CWE-23）
  • CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H 基本値 4.9
  • CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:L 基本値 6.7
  • CVE-2026-34926
  • 本脆弱性はTrendAI Apex One（オンプレミス版）でのみ悪用可能です
• セキュリティエージェントにおけるオリジン確認エラー（CWE-346）
  • CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5
  • CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
  • CVE-2026-34927、CVE-2026-34928、CVE-2026-34929、CVE-2026-34930、CVE-2026-45206、CVE-2026-45207
• セキュリティエージェントにおけるTime-of-check Time-of-use（TOCTOU）競合状態（CWE-367）
  • CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5
  • CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
  • CVE-2026-45208

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• Apex Oneサーバに管理者権限でアクセス可能な攻撃者によってサーバ上のファイルを改ざんされ、結果として細工したコードをセキュリティエージェントに配布される（CVE-2026-34926）
• セキュリティエージェントにアクセス可能な攻撃者によって、権限昇格される（CVE-2026-34927、CVE-2026-34928、CVE-2026-34929、CVE-2026-34930、CVE-2026-45206、CVE-2026-45207、CVE-2026-45208）

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

• TrendAI Apex One（オンプレミス版）
  • サーバ：Service Pack 1 Critical Patch B18012
  • セキュリティエージェント：Agent Build 14.0.18012
• Trend Micro Apex One as a Service
  • サーバ：2026年4月のメンテナンスで修正済
  • セキュリティエージェント：Agent Build 14.0.20731
• Trend Vision One Endpoint Security - Standard Endpoint Protection
  • サーバ：2026年4月のメンテナンスで修正済
  • セキュリティエージェント：Agent Build 14.0.20731