脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2025-69258 | Apex Central | All | 9.8 | 重大 |
| CVE-2025-69259 | All | 7.5 | 高 | |
| CVE-2025-69260 | All | 7.5 | 高 | |
| CVE-2025-71205※ | All | 4.4 | 中 | |
| CVE-2025-71206※ | All | 4.4 | 中 | |
| CVE-2025-71207※ | All | 4.4 | 中 | |
| CVE-2025-71208※ | All | 8.1 | 高 | |
| CVE-2025-71209※ | All | 8.1 | 高 |
※ これらは、2026年02月25日にこのアドバイザリに追記された、過去のCritical Patchで修正済みだった脆弱性です。
脆弱性の概要
CVE-2025-69258: LoadLibraryEXにおけるリモートコード実行の脆弱性
CVSSv3.1: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Trend Micro Apex Central の LoadLibraryEX の脆弱性により認証されていない攻撃者がDLLを実行ファイルにロードすることができます。この脆弱性により、攻撃者はシステム権限でのリモートのコード実行が可能になります。
CVE-2025-69259: Denial of Service (DoS)攻撃につながるメッセージのNULL戻り値チェック不足の脆弱性
CVSSv3.1: 7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Trend Micro Apex Central において、メッセージのNULL戻り値チェック不足の脆弱性が確認されました。この脆弱性により、リモートの攻撃者がサービス拒否状態を引き起こす可能性があります。
この脆弱性を悪用するために、攻撃者が認証されている必要ありません。
CVE-2025-69260: Denial of Service (DoS)攻撃につながるメッセージの領域外読み取りの脆弱性
CVSSv3.1: 7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Trend Micro Apex Centralにおいて、メッセージの領域外読み取りの脆弱性が確認されました。この脆弱性により、リモートの攻撃者がサービス拒否状態を引き起こす可能性があります。
この脆弱性を悪用するために、攻撃者が認証されている必要ありません。
※以下2026年02月25日 更新分
以下の脆弱性は以前のCritical Patchにより修正が行われていましたが、情報公開が行われていなかったものです。
これらの脆弱性に対する修正は、Critical Patch Build 7190 にも既に含まれています。
CVE-2025-71205: 脅威インテリジェンスコンポーネントにおけるサイドリクエストフォージェリ(SSRF)の脆弱性
CVSSv3.1: 4.4: AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Trend Micro Apex Centralの脅威インテリジェンスコンポーネントにおいて、ブラインドサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性により、攻撃者が脆弱なサーバーから任意のHTTPリクエストを送信できる可能性があります。
この脆弱性を悪用するには攻撃者は認証されている必要があります。
CVE-2025-71206: スケジュール更新におけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性
CVSSv3.1: 4.4: AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Trend Micro Apex Centralのスケジュール更新コンポーネントにおいて、ブラインドサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性により、攻撃者が脆弱なサーバーから任意のHTTPリクエストを送信できる可能性があります。
この脆弱性を悪用するには攻撃者は認証されている必要があります。
CVE-2025-71207: 手動更新におけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性
CVSSv3.1: 4.4: AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Trend Micro Apex Centralの手動更新コンポーネントにおいて、ブラインドサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性により、攻撃者が脆弱なサーバーから任意のHTTPリクエストを送信できる可能性があります。
この脆弱性を悪用するには攻撃者は認証されている必要があります。
CVE-2025-71208: 管理コンソールの不適切な認証による権限昇格の脆弱性
CVSSv3.1: 8.1: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Trend Micro Apex Centralにおける不適切な認証の脆弱性が確認されました。この脆弱性により、攻撃者が権限を昇格させる可能性があります。この脆弱性はCVE-2025-71209と類似していますが、同一ではありません。
この脆弱性を悪用するには攻撃者は認証されている必要があります。
CVE-2025-71209: 管理コンソールの不適切な認証による権限昇格の脆弱性
CVSSv3.1: 8.1: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Trend Micro Apex Centralにおける不適切な認証の脆弱性が確認されました。この脆弱性により、攻撃者が権限を昇格させる可能性があります。この脆弱性はCVE-2025-71208と類似していますが、同一ではありません。
この脆弱性を悪用するには攻撃者は認証されている必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex Central | 2019 | Critical Patch Build 7190 | Readme |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることを推奨いたします。
更新情報
| 日付 | 更新履歴 |
| 2026年01月08日(木) 午前11時00分 | 情報公開 |
| 2026年02月25日(水) 午前11時00分 | 過去のバージョンで対処された脆弱性の情報を追加 |