公開日:2025/08/06 最終更新日:2025/08/06

JVNVU#92409854
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性
緊急

概要

トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数のOSコマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • Trend Micro Apex One 2019 SP1
  • Trend Micro Apex One SaaS
  • Trend Vision One Endpoint Security - Standard Endpoint Protection

詳細情報

トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、次の複数の脆弱性が存在します。

  • 管理コンソールにおけるOSコマンドインジェクション(CWE-78
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:H/SC:N/SI:N/SA:N 基本値 8.8
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H 基本値 9.4
    • CVE-2025-54948、CVE-2025-54987
なお、開発者によると、CVE-2025-54948については、本脆弱性を悪用する攻撃が既に確認されているとのことです。

想定される影響

遠隔の攻撃者によって、認証無しで任意のコードを実行される可能性があります。

対策方法

Trend Micro Apex One 2019 SP1向け対策:
Fixtoolを適用する
開発者が提供する情報をもとにFixtoolを適用してください。
なお、開発者は2025年8月中旬に恒久対策としてCritical Patchのリリースを予定しています。

Trend Micro Apex One SaaSおよびTrend Vision One Endpoint Security - Standard Endpoint Protection向け対策:
2025年7月31日のメンテナンスで修正済みです。

ベンダ情報

ベンダ リンク
トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Apex Oneで確認された管理コンソールに対するコマンドインジェクションによるリモートコード実行の脆弱性(CVE-2025-54948, CVE-2025-54987)
【注意喚起】弊社エンドポイント製品の脆弱性を悪用した攻撃を確認したことによる対応のお願い(CVE-2025-54948,CVE-2025-54987)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告 JPCERT-AT-2025-0016
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/08/06
[関連文書]を更新しました