脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア |
深刻度 |
|---|---|---|---|---|
| CVE-2025-49154 |
Biz |
10.0 SP1 6.7 |
8.7 | 高 |
| CVE-2025-49487 |
VBBSS |
6.7 | 6.8 | 中 |
| CVE-2025-53378 |
VBBSS |
6.7 | 7.6 | 高 |
脆弱性の概要
CVE-2025-49154: 不適切なアクセス制御の脆弱性
CVSSv3.1: 8.7 AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
Weakness: CWE-284: 不適切なアクセス制御
Biz及びVBBSSのアクセス制御に脆弱性があり、ローカルの攻撃者が重要なメモリマップファイルを上書きできる可能性があります。これにより影響を受けたシステムのセキュリティと安定性に深刻な影響を与える可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。
CVE-2025-49487: 制御されていない検索パス要素による任意のコード実行の脆弱性
ZDI-CAN-23056
CVSSv3.1: 6.8 AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-427: 制御されていない検索パス問題
VBBSS エージェントの制御されていない検索パスにより、攻撃者がマシンに物理的にアクセスできる場合、任意のコードを実行できる可能性があります。
特定のハードウェアコンポーネントにアクセスする必要があるため、この脆弱性を悪用するには、攻撃者は対象システムに物理的にアクセスできる必要があります。
CVE-2025-53378: 認証の欠如の脆弱性
ZDI-CAN-25342
CVSSv3.1: 7.6 AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H
Weakness: CWE-306: 重要な機能に対する認証の欠如
VBBSS エージェントに認証の欠如の脆弱性があり、認証されていない攻撃者が影響を受けるエージェントをリモートから制御できる可能性があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Biz | 10.0 SP1 | Readme | |
|
VBBSS |
6.7.3822 / 14.3.1231 6.7.3954 / 14.3.1299 |
2024/9/23 メンテナンスで修正済み(CVE-2025-49154,CVE-2025-49487) 2025/5/19 メンテナンスで修正済み(CVE-2025-53378) |
- |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-23056
- ZDI-CAN-25342
英語版FAQ: https://success.trendmicro.com/en-US/solution/KA-0019936
更新情報
- 2025年 6月10日 新規公開
- 2025年 7月1日 CVE-2025-53378 に関する記載を追加