公開日:2025/08/06 最終更新日:2025/08/06
JVNVU#92409854
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性
緊急
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数のOSコマンドインジェクションの脆弱性が存在します。
- Trend Micro Apex One 2019 SP1
- Trend Micro Apex One SaaS
- Trend Vision One Endpoint Security - Standard Endpoint Protection
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、次の複数の脆弱性が存在します。
- 管理コンソールにおけるOSコマンドインジェクション(CWE-78)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:H/SC:N/SI:N/SA:N 基本値 8.8
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H 基本値 9.4
- CVE-2025-54948、CVE-2025-54987
遠隔の攻撃者によって、認証無しで任意のコードを実行される可能性があります。
Trend Micro Apex One 2019 SP1向け対策:
Fixtoolを適用する
開発者が提供する情報をもとにFixtoolを適用してください。
なお、開発者は2025年8月中旬に恒久対策としてCritical Patchのリリースを予定しています。
Trend Micro Apex One SaaSおよびTrend Vision One Endpoint Security - Standard Endpoint Protection向け対策:
2025年7月31日のメンテナンスで修正済みです。
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
JPCERT 緊急報告 |
JPCERT-AT-2025-0016 トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性に関する注意喚起 |
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
|
JVN iPedia |
|
- 2025/08/06
- [関連文書]を更新しました