受影響的版本
| 產品 | 受影響的版本 | 平台 | 語言 |
|---|---|---|---|
| Apex Central (本地佈署) | 2019 build 6955之前版本 | Windows | 英文 |
| Apex Central SaaS | 2025年3月維護版本之前的SaaS版本 | Windows (SaaS) | 英文 |
解決方案
Trend Micro 已釋出以下解決方案來解決這個問題:
| 產品 | 更新版本 | 說明 | 平台 | 可用性 |
|---|---|---|---|---|
| Apex Central (本地佈署) | Build 6955 | 說明 | Windows | 現在可用 |
| Apex Central (SaaS) | 2025年3月每月維護版本 | 說明 | Windows (SaaS) | 現在可用 |
這些是解決此問題所需的修補程式和/或構建的最低建議版本。Trend Micro 強烈建議客戶在本通知中列出的版本有更新版本可用時,獲取最新版本的產品。
我們建議客戶在應用上述任何解決方案之前訪問 Trend Micro 的下載中心以獲取必需的軟體(如 Service Packs)。
弱點詳細資訊
CVE-2025-30678: modTMSM伺服器端請求偽造信息披露弱點
ZDI-CAN-24939
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
弱點:CWE-918: SSRF
Trend Micro Apex Central (本地佈署) modTMSM元件中的伺服器端請求偽造(SSRF)弱點可能允許攻擊者操作某些參數,導致受影響安裝上的信息披露。
CVE-2025-30679: modOSCE伺服器端請求偽造信息披露弱點
ZDI-CAN-24934
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
弱點:CWE-918: SSRF
Trend Micro Apex Central (本地佈署) modOSCE元件中的伺服器端請求偽造(SSRF)弱點可能允許攻擊者操作某些參數,導致受影響安裝上的信息披露。
CVE-2025-30680: Apex Central (SaaS) Query 伺服器端請求偽造信息披露弱點
ZDI-CAN-25524
CVSSv3: 7.1: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
弱點:CWE-918: SSRF
Trend Micro Apex Central (SaaS) 中的伺服器端請求偽造(SSRF)弱點可能允許攻擊者操作某些參數,導致受影響安裝上的信息披露。
請注意:此弱點僅影響Apex Central的SaaS版本 - 客戶如果自動應用Trend Micro每月維護版本到SaaS版本,則無需採取任何進一步的行動。
緩解因素
利用這些類型的弱點通常要求攻擊者擁有對有弱點的機器的訪問權限(實體或遠端)。除了及時應用修補程式和更新的解決方案,客戶還應檢查對關鍵系統的遠端訪問,並確保政策和周邊安全已更新。
然而,儘管利用可能需要滿足多個具體條件,Trend Micro仍強烈建議客戶盡快更新至最新的構建。
致謝
Trend Micro想向以下個人致謝,感謝他們負責任地披露這些問題並與Trend Micro合作,以幫助保護我們的客戶:
- 來自 STAR Labs SG Pte. Ltd. 的 Poh Jia Hao,在和 Trend Micro 的零日計畫合作中負責披露 (CVE-2025-30678 和 30679)
- Trend Research的 Abdessamad Lahlali 和 Smile Thanapattheerakul (CVE-2025-30680)
外部參考
- ZDI-CAN-24939
- ZDI-CAN-24934
- ZDI-CAN-25524