脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア |
深刻度 |
|---|---|---|---|---|
| CVE-2025-49844 |
Apex One Endpoint Sensor |
All | 6.3 | 中 |
注意:Apex Oneは、インストール時もしくはコンソールを通してiESの機能を有効化しない限りは、Redis のインストールを実施しません。iES機能を一切有効化したことがないお客様は本脆弱性の影響を受けません。
Redis がインストールされているかどうかについては以下のどちらかの方法で確認を行うことができます。
- コマンドプロンプトでコマンドを実行して、Redis サービスがインストールされているかを確認する。
sc query “Redis”
- インストールフォルダ配下に、iESのディレクトリが作成されているか確認する
<Apex One サーバのインストールパス>\iServiceSrv\iES ※
※デフォルトのインストールパスは、 C:\Program Files (x86)\Trend Micro\Apex One\ です。
脆弱性の概要
Trend Micro Apex One Endpoint Sensor (iES) サーバは、3rd パーティコンポーネントである Redisを利用しております。この Redis において、Luaスクリプトを悪用してリモートコード実行を行うことができる脆弱性が確認されました。
この脆弱性自体は、CVE-2025-49844 として公開されており、深刻度は緊急(Critical)として評価されておりますが、iES サーバにおけるRedisは限定的に利用されているため、本製品における脆弱性の深刻度は 中(medium: 6.5)として評価しております。
iESサーバにおける本脆弱性のCVSSスコアは下記の通りです。
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
対処方法
下記製品Q&Aを参考に 17079 以降を適用してください。
Trend Micro Apex One 2019 Critical Patch (ビルド 17079) のインストール手順:Trend Micro Apex One
参照情報
- CVE-2025-49844
更新情報
- 2025年12月17日 公開
- 2026年02月26日 情報更新(CP公開時期の変更)
- 2026年04月13日 情報更新(CVE対応済みCritical Patchのリリースに伴い、対応策の修正)