Podatność insecure deserialization w komponencie PolicyServer produktu Trend Micro Endpoint Encryption umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom zagrożenia wynika z braku wymogu jakiegokolwiek uwierzytelnienia przed wykorzystaniem podatności.
▸ Pokaż oryginał (EN)
An insecure deserialization operation in the Trend Micro Endpoint Encryption PolicyServer could lead to a pre-authentication remote code execution on affected installations. Note that this vulnerability is similar to CVE-2025-49220 but is in a different method.
Komponent PolicyServer obsługuje operację deserializacji danych w sposób niebezpieczny (insecure deserialization), co oznacza, że dane wejściowe dostarczane przez atakującego są deserializowane bez odpowiedniej walidacji lub filtrowania. Atakujący może spreparować złośliwy payload i przesłać go do serwera jeszcze przed procesem uwierzytelnienia. Podatność dotyczy innej metody niż powiązana CVE-2025-49220, lecz obie wady mają podobny charakter i skutki.
Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa PolicyServer, w tym możliwość odczytu, modyfikacji lub usunięcia danych oraz dalszego lateral movement w sieci. Kompromitacja serwera zarządzającego politykami szyfrowania może skutkować ujawnieniem danych uwierzytelniających i kluczy szyfrowania zarządzanych przez produkt.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie Trend Micro: https://success.trendmicro.com/en-US/solution/KA-0019928. Ze względu na pre-authentication RCE o ocenie CVSS 9.8 aktualizacja powinna zostać wdrożona niezwłocznie. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do PolicyServer wyłącznie do zaufanych hostów za pomocą firewall.
Trend Micro Endpoint Encryption PolicyServer działający na Microsoft Windows — konkretne wersje wskazane w referencjach producenta (https://success.trendmicro.com/en-US/solution/KA-0019928)
Podatność jest powiązana z CVE-2025-49220 — obie dotyczą insecure deserialization w PolicyServer, lecz w różnych metodach. Szczegóły techniczne opublikowano w serwisie Zero Day Initiative (ZDI-25-369).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows
OSMicrosoftwszystkie wersjeTrendmicro Trend Micro Endpoint Encryption
APPTrendmicro< 6.0.0.4013
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit