受影響版本
| 產品 | 受影響版本 | 平台 | 語言 |
|---|---|---|---|
| Apex One | 2019(本地佈署) | Windows | 英文 |
| Apex One as a Service | SaaS | Windows | 英文 |
解決方案
Trend Micro 已釋出以下修補程式以解決相關弱點:
| 產品 | 更新版本 | 平台 | 可用性 |
|---|---|---|---|
| Apex One | SP1 CP Build 14002 | Windows | 現已提供 |
| Apex One as a Service | Security Agent Version: 14.0.14492 | Windows | 現已提供 |
請注意,儘管下列部分弱點在先前版本中已技術性地獲得修正,Trend Micro 仍強烈建議客戶若有更新版本可用,應採用最新版本的產品。
我們建議客戶前往 Trend Micro 下載中心 取得必要的前置軟體(例如 Service Pack)後再套用上述解決方案。
弱點詳情
CVE-2025-49154:Insecure Access Control Vulnerability
CVSSv3.1: 8.7 AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
弱點類型:CWE-284:不當存取控制
Trend Micro Apex One 中存在一項不安全的存取控制弱點,可能允許本地攻擊者覆寫關鍵的記憶體對映檔案,進而對受影響的安裝造成安全性與穩定性的嚴重影響。
請注意:攻擊者必須先取得在目標系統上執行低權限程式碼的能力,才能利用此弱點。
CVE-2025-49155:Data Loss Prevention Uncontrolled Search Path RCE Vulnerability
ZDI-CAN-24571
CVSSv3.1: 8.8: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
弱點類型:CWE-427:未受控的搜尋路徑元素
Trend Micro Apex One 的 Data Loss Prevention 模組存在一項未受控的搜尋路徑弱點,可能讓攻擊者注入惡意程式碼,導致在受影響的安裝上執行任意程式碼。
CVE-2025-49156:Scan Engine Link Following Local Privilege Escalation Vulnerability
ZDI-CAN-24973
CVSSv3.1: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
弱點類型:CWE-269:不當的權限管理
Trend Micro Apex One 的掃描引擎存在連結追蹤弱點,可能讓本地攻擊者提升權限於受影響系統上。
請注意:攻擊者必須先取得在目標系統上執行低權限程式碼的能力,才能利用此弱點。
CVE-2025-49157:Damage Cleanup Engine Link Following Local Privilege Escalation Vulnerability
ZDI-CAN-25273
CVSSv3.1: 7.8 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
弱點類型:CWE-269:不當的權限管理
Trend Micro Apex One 的 Damage Cleanup Engine 存在連結追蹤弱點,可能讓本地攻擊者提升權限於受影響系統上。
請注意:攻擊者必須先取得在目標系統上執行低權限程式碼的能力,才能利用此弱點。
CVE-2025-49158:Security Agent Uncontrolled Search Path Local Privilege Escalation Vulnerability
ZDI-CAN-25771
CVSSv3.1: 6.7 AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
弱點類型:CWE-427:未受控的搜尋路徑元素
Trend Micro Apex One 的 Security Agent 存在一項未受控的搜尋路徑弱點,可能讓本地攻擊者提升權限於受影響系統上。
請注意:攻擊者必須先取得在目標系統上執行低權限程式碼的能力,才能利用此弱點。
緩解因素
此類弱點的利用通常需要攻擊者擁有對受影響機器的存取權(無論是實體或遠端)。除了及時套用修補程式與更新解決方案外,亦建議客戶檢視關鍵系統的遠端存取設定,並確保相關政策與邊界安全機制為最新狀態。
儘管某些弱點的利用需符合多項特定條件,Trend Micro 仍強烈建議客戶盡速更新至最新版本。
致謝
Trend Micro 感謝以下人士負責任地揭露這些弱點,並協助我們保護客戶:
- Alexander Pudwill(CVE-2025-49154)
- Xavier DANEST - Decathlon(CVE-2025-49155)與 Trend Micro Zero Day Initiative 合作
- 匿名研究人員(CVE-2025-49156 與 CVE-2025-49157)與 Trend Micro Zero Day Initiative 合作
- Vladislav Berghici(CVE-2025-49158),Trend Micro Research,與 Trend Micro Zero Day Initiative 合作
外部參考資料
- ZDI-CAN-24571
- ZDI-CAN-24973
- ZDI-CAN-25273
- ZDI-CAN-25771