受影響版本
| 產品 | 受影響版本 | 平台 | 語言 |
|---|---|---|---|
| Apex Central | 2019(本地佈署) | Windows | 英文 |
| Apex Central as a Service* | SaaS | Windows | 英文 |
解決方案
Trend Micro 已針對下列問題釋出以下修補程式:
| 產品 | 更新版本 | 說明 | 平台 | 可用性 |
|---|---|---|---|---|
| Apex Central(本地佈署) | CP B7007 | Download Center | Windows | 現已提供 |
| Apex Central as a Service* | 2025 年 4 月每月更新 | Windows | 現已提供 |
*Apex Central as a Service 的相關資訊僅作為歷史記錄提供,因為相關問題已於 2025 年 4 月的每月維護中於後端修正。
以上列出的為修正本次弱點所需的最低建議修補程式或版本。Trend Micro 強烈建議客戶安裝本公告中所列或更新版本的產品。
建議客戶前往 Trend Micro 下載中心 取得必要的前置軟體(例如 Service Pack)後再套用上述修補方案。
弱點詳情
CVE-2025-49219:Deserialization of Untrusted Data RCE 弱點
ZDI-CAN-25286
CVSSv3:9.8:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點類型:CWE-477:使用過時函式
Trend Micro Apex Central 中存在一項不安全的反序列化操作,可能導致未經驗證的遠端程式碼執行。請注意,此弱點與 CVE-2025-49220 相似,但發生於不同的方法中。
CVE-2025-49220:Deserialization of Untrusted Data RCE 弱點
ZDI-CAN-25495
CVSSv3:9.8:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點類型:CWE-477:使用過時函式
Trend Micro Apex Central 中存在另一項不安全的反序列化操作,可能導致未經驗證的遠端程式碼執行。請注意,此弱點與 CVE-2025-49219 相似,但發生於不同的方法中。
緩解因素
此類弱點的利用通常需要攻擊者擁有對受影響機器的實體或遠端存取權。除應即時套用修補程式與更新版本外,亦建議客戶檢視關鍵系統的遠端存取設定,並確保政策與邊界防護為最新狀態。
儘管部分弱點需符合特定條件才能被利用,Trend Micro 仍強烈建議客戶盡快升級至最新版本。
此外,鑑於這些問題的嚴重性,Trend Micro 也針對次要主動防禦釋出了以下網路入侵防護(IPS)規則:
TippingPoint 與 Trend Micro Cloud One - Network Security:Filter 35498
Trend Micro Cloud One - Workload Security 與 Deep Security:Rule 1012375
致謝
Trend Micro 感謝以下研究人員負責任地揭露這些問題,並協助我們保護客戶:
- 匿名研究人員,與 Trend Micro Zero Day Initiative 合作(CVE-2025-49219)
- Piotr Bazydlo(@chudypb),與 Trend Micro Zero Day Initiative 合作(CVE-2025-49220)
外部參考資料
- ZDI-CAN-25286
- ZDI-CAN-25495