脆弱性の影響を受ける製品/コンポーネント/ツール
該当する脆弱性 | 製品/コンポーネント/ツール | バージョン | CVSS3.0 スコア | 深刻度 |
---|---|---|---|---|
CVE-2025-30678 | Apex Central Apex Central (SaaS)* | All | 6.5 | 中 |
CVE-2025-30679 | All | 6.5 | 中 | |
CVE-2025-30680 | All | 7.1 | 高 | |
CVE-2025-47865 | All | 7.5 | 高 | |
CVE-2025-47866 | All | 4.3 | 中 | |
CVE-2025-47867 | All | 7.5 | 高 |
*Apex One SaaSのCentral機能部分のみが対象となります
脆弱性の概要
CVE-2025-30678: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-24939
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
CVE-2025-30679: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-24934
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
CVE-2025-30680: サーバーサイド・リクエスト・フォージェリによる情報開示の脆弱性
ZDI-CAN-25524
CVSSv3: 7.1: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Weakness: CWE-918: SSRF
Trend Micro Apex Centralのコンポーネントにおいて、サーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性が確認されました。この脆弱性により攻撃者が特定のパラメータを操作し、既存のサーバーから情報を引き出すことができる可能性があります。
※この脆弱性はApex Central (SaaS)のインスタンスのみ影響を受けます。2025年3月のメンテナンスにより問題を解決するビルドが自動的で適用されており、お客様側での対応等は必要ありません。
CVE-2025-47865: ウィジェットにおけるローカルファイルインクルードによるリモートコード実行の脆弱性
ZDI-CAN-24938
CVSSv3: 7.5: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-475: Undefined Behavior for Input to API
Trend Micro Apex Centralにおいて、ローカルファイルインクルードの脆弱性が確認されました。この脆弱性を悪用することで、リモートでのコード実行が行われる可能性があります。この脆弱性を悪用するには、Apex Centralの管理コンソールへのログインが必要です。
CVE-2025-47866: ウィジェットにおけるファイルの無制限アップロードの脆弱性
ZDI-CAN-25331
CVSSv3: 4.3: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:A
Weakness: CWE-475: Undefined Behavior for Input to API
Trend Micro Apex Centralにおいて、無制限に任意のファイルをアップロードすることのできる脆弱性が確認されました。この脆弱性を悪用するには、Apex Centralの管理コンソールへのログインが必要です。
CVE-2025-47867: ウィジェットにおけるローカルファイルインクルードによるリモートコード実行の脆弱性
ZDI-CAN-24936
CVSSv3: 7.5: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Weakness: CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component
Trend Micro Apex Centralにおいて、ローカルファイルインクルードの脆弱性が確認されました。この脆弱性を悪用することで、リモートで任意のファイルをPHPコードとして実行できる可能性があります。この脆弱性を悪用するには、Apex Centralの管理コンソールへのログインが必要です。
対処方法
製品/コンポーネント/ツール | バージョン | 修正 | Readme |
---|---|---|---|
Apex Central | 2019 | Critical Patch 6955 | Readme |
Apex Central (SaaS) | - | 2025年3月のメンテナンス | Readme |
「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
- ZDI-CAN-24939
- ZDI-CAN-24934
- ZDI-CAN-25524
- ZDI-CAN-24938
- ZDI-CAN-25331
- ZDI-CAN-24936
英語版FAQ: https://success.trendmicro.com/en-US/solution/KA-0019355
更新情報
- 2025年4月02日 公開
- 2025年5月14日 CVE-2025-47865,47866,47867の情報を追加