ニュース

トレンドマイクロの企業向けエンドポイントセキュリティ製品に複数の脆弱性、対象製品利用者はFixtoolの適用を

 トレンドマイクロ株式会社は、同社が企業向けに提供しているエンドポイントセキュリティ製品に複数のOSコマンドインジェクションの脆弱性が存在することを発表した。JVN(Japan Vulnerability Notes)も情報を公開している。

 同社は、対象となる製品と対策方法を発表している。

  • Trend Micro Apex One 2019 SP1
    同社がアラート/アドバイザリのページで公開しているFixtoolを適用することで対策が可能。この対策は短期的な緩和策としており、正式な修正は8月中旬の公開を予定している。
  • Trend Micro Apex One SaaS
    7月31日のメンテナンスで修正済み。
  • Trend Vision One Endpoint Security - Standard Endpoint Protection
    7月31日のメンテナンスで修正済み。

 発表された脆弱性は、管理コンソールにおけるOSコマンドインジェクション(CVE-2025-54987、CVE-2025-54948)。管理コンソールにおいて、認証前の攻撃者が任意のコードを管理サーバ上にアップロードして実行される可能性がある。CVSS v4のスコアは8.8、CVSS v3.1のスコアは9.4。