脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2025-49219 | Apex Central Apex Central (SaaS)* Standard Endpoint Protection* | All | 9.8 | 重大 |
| CVE-2025-49220 | All | 9.8 | 重大 |
*Apex One SaaSのCentral機能部分のみが対象となります
脆弱性の概要
CVE-2025-49219: デシリアライゼーションによるリモートコード実行の脆弱性
ZDI-CAN-25286
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-477: 廃止された機能の使用
Apex Centralの信頼されていないデータのデシリアライゼーション処理により、影響を受けたシステムで攻撃者は遠隔でコード実行を行える可能性があります。
注:この脆弱性は、下記のCVE-2025-49220と類似していますが異なる脆弱性です。
CVE-2025-49220: デシリアライゼーションによるリモートコード実行の脆弱性
ZDI-CAN-25495
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-477: 廃止された機能の使用
Apex Centralの信頼されていないデータのデシリアライゼーション処理により、影響を受けたシステムで攻撃者は遠隔でコード実行を行える可能性があります。
注:この脆弱性は、上記のCVE-2025-49219と類似していますが異なる脆弱性です。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex Central | 2019 | Critical Patch 7007 | Readme |
| Apex Central (SaaS) Standard Endpoint Protection | - | 2025年4月のメンテナンス | Readme |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-25286
- ZDI-CAN-25495
英語版FAQ: https://success.trendmicro.com/en-US/solution/KA-0019926
更新情報
- 2025年6月11日 新規公開
- 2025年6月12日 Trend Vision Oneに関する情報を追記