脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2025-30678 | Apex Central | All | 6.5 | 中 |
| CVE-2025-30679 | All | 6.5 | 中 | |
| CVE-2025-30680 | Apex Central (SaaS)* | All | 7.1 | 高 |
*Apex One SaaSのCentral機能部分のみが対象となります
脆弱性の概要
CVE-2025-30678: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-24939
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
CVE-2025-30679: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-24934
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
CVE-2025-30680: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-25524
CVSSv3: 7.1: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
※この脆弱性はApex Central (SaaS)のインスタンスのみ影響を受けます。2025年3月のメンテナンスにより問題を解決するビルドが自動的で適用されており、お客様側での対応等は必要ありません。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex Central | 2019 | Critical Patch 6955 | Readme |
| Apex Central (SaaS) | - | 2025年3月のメンテナンス | Readme |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-24939
- ZDI-CAN-24934
- ZDI-CAN-25524
英語版FAQ: https://success.trendmicro.com/en-US/solution/KA-0019355
更新情報
- 2025年 4月2日 公開