脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア |
深刻度 |
|---|---|---|---|---|
| CVE-2025-71210※ |
Apex One Standard Endpoint Protection |
2019 |
9.8 | 緊急 |
| CVE-2025-71211※ | 9.8 | 緊急 | ||
| CVE-2025-71212 | 7.8 | 高 | ||
| CVE-2025-71213 | 7.8 | 高 | ||
| CVE-2025-71214 | Apex One (Mac) | 2019 | 7.2 | 高 |
| CVE-2025-71215 | 7.8 | 高 | ||
| CVE-2025-71216 | 7.8 | 高 | ||
| CVE-2025-71217 | 7.8 | 高 |
※ これらの脆弱性は緊急レベルのCVSSスコアを持ちますが、Zero Day Initiativeを通じて研究者による責任ある開示を経て報告されたものです。
Apex One SaaS/Standard Endpoint protectionについて、CVE-2025-71210、CVE-2025-71211に関してはお客様側での対応は不要となります。
脆弱性の概要
CVE-2025-71210: 管理コンソールにおけるリモートコード実行につながるディレクトリトラバーサルの脆弱性
ZDI-CAN-28001
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-22
Trend Micro Apex One の管理コンソールにおいて、ディレクトリトラバーサルの脆弱性が確認されました。この脆弱性により、リモートの攻撃者は悪意のあるコードをアップロードし、任意のコマンドを実行することができる可能性があります。
この脆弱性を悪用するには、攻撃者がTrend Micro Apex Oneの管理コンソールにアクセスできる必要があります。
CVE-2025-71211: 管理コンソールにおけるリモートコード実行につながるディレクトリトラバーサルの脆弱性
ZDI-CAN-28002
CVSSv3: 9.8: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-22
Trend Micro Apex One の管理コンソールにおいて、ディレクトリトラバーサルの脆弱性が確認されました。この脆弱性により、リモートの攻撃者は悪意のあるコードをアップロードし、任意のコマンドを実行することができる可能性があります。
この脆弱性を悪用するには、攻撃者がTrend Micro Apex Oneの管理コンソールにアクセスできる必要があります。この脆弱性はCVE-2025-71210と範囲は類似していますが、異なる実行ファイルに影響を与えます。
CVE-2025-71212: スキャンエンジンにおけるローカル権限昇格につながるリンクフォローイングの脆弱性
ZDI-CAN-24972
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-59
Trend Micro Apex Oneのスキャンエンジンにおいて、リンクフォローイングの脆弱性が確認されました。この脆弱性により、ローカルの攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2025-71213: ローカル権限昇格につながるのオリジン確認エラー脆弱性
ZDI-CAN-26771
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-346
Trend Micro Apex Oneのエージェントにおいて、オリジン確認エラーの脆弱性により、ローカルの攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
以下のApex One (Mac) についての情報はCVE参照用に公開しているもので、
これらは2025年中期から後期にかけてActiveUpdate/SaaSアップデート(SaaS 2507および2005年の年次リリース)で対策済みです。
CVE-2025-71214: エージェントのiCoreサービスにおけるローカル権限昇格につながるオリジン確認エラーの脆弱性
ZDI-CAN-26282
CVSSv3: 7.2: AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
Weakness: CWE-346
Trend Micro Apex One (Mac) エージェントのiCoreサービスにおいて、オリジン確認エラーの脆弱性が確認されました。この脆弱性により、ローカルの攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2025-71215: エージェントのiCoreサービス署名検証におけるローカル権限昇格につながるToCToU(Time-of-Check Time-of-Use)の脆弱性
ZDI-CAN-26609
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-367
Trend Micro Apex One (Mac) エージェントのiCoreサービスの署名検証において、ToCToU(Time-of-Check Time-of-Use)の脆弱性が確認されました。この脆弱性によりローカルの攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2025-71216: エージェントのキャッシュメカニズムにおけるローカル権限昇格につながるToCToU(Time-of-Check Time-of-Use)の脆弱性
ZDI-CAN-26605
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-367
Trend Micro Apex One (Mac) エージェントのキャッシュメカニズムにおいて、ToCToU(Time-of-Check Time-of-Use)の脆弱性が確認されました。この脆弱性によりローカル攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2025-71217: エージェントのセルフプロテクションにおけるローカル権限昇につながるオリジン確認エラーによる格脆弱性
ZDI-CAN-26594
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-346
TTrend Micro Apex One (Mac) エージェントセルフプロテクションの機能において、オリジン検証エラーの脆弱性が確認されました。この脆弱性により、ローカルの攻撃者が権限を昇格させることができる可能性があります。
この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex One | 2019 | Critical Patch Build 14136※ | Readme |
| Apex One (Mac) | - | Patch 17 (3.5.8033) | Readme |
|
Apex One as a Service Standard Endpoint Protection |
- |
Security Agent Build 14.0.20315 2025年11月12日 メンテナンスにて対応済み |
Readme |
※ このCritical Patchには、Apex One の以前の脆弱性(CVE-2025-54987およびCVE-2025-54948)に対する保護の強化が含まれています(ZDI-CAN-27975および、ZDI-CAN-27976)。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることを推奨いたします。
更新情報
| 日付 | 更新履歴 |
| 2026年02月27日(金) 午前10時20分 | Apex Oneのリンクを修正 |
| 2026年02月25日(水) 午前11時00分 | 情報公開 |