|
[English]
|
JVNDB-2025-010854
|
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の OS コマンドインジェクションの脆弱性
|
|
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、次の複数の脆弱性が存在します。
- 管理コンソールにおけるOSコマンドインジェクション (CWE-78) - CVE-2025-54948、CVE-2025-54987
なお、開発者によると、CVE-2025-54948 については、本脆弱性を悪用する攻撃が既に確認されているとのことです。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.4 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 低
- 可用性への影響(A): 高
|
|
|
トレンドマイクロ
- Trend Micro Apex One 2019 SP1
- Trend Micro Apex One SaaS
- Trend Vision One Endpoint Security - Standard Endpoint Protection
|
|
|
遠隔の攻撃者によって、認証無しで任意のコードを実行される可能性があります。
|
|
Trend Micro Apex One 2019 SP1 向け対策:
[Fixtool を適用する]
開発者が提供する情報をもとに Fixtool を適用してください。
なお、開発者は 2025 年 8 月中旬に恒久対策として Critical Patch のリリースを予定しています。
Trend Micro Apex One SaaS および Trend Vision One Endpoint Security - Standard Endpoint Protection 向け対策:
2025 年 7 月 31 日のメンテナンスで修正済みです。
|
|
トレンドマイクロ
|
|
- OSコマンドインジェクション(CWE-78) [その他]
|
|
- CVE-2025-54948
- CVE-2025-54987
|
|
- JVN : JVNVU#92409854
- JPCERT 緊急報告 : JPCERT-AT-2025-0016
|
|
|
