Podatność insecure deserialization w komponencie PolicyServer rozwiązania Trend Micro Endpoint Encryption umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom zagrożenia wynika z braku wymogu jakiegokolwiek uwierzytelnienia przed wykonaniem exploit.
▸ Pokaż oryginał (EN)
An insecure deserialization operation in the Trend Micro Endpoint Encryption PolicyServer could lead to a pre-authentication remote code execution on affected installations. Note that this vulnerability is similar to CVE-2025-49213 but is in a different method.
Komponent PolicyServer deserializuje dane przesyłane przez sieć bez odpowiedniej weryfikacji ich pochodzenia ani zawartości, korzystając z niebezpiecznej operacji deserialization (CWE-477, CWE-502). Atakujący może dostarczyć spreparowany payload, który zostanie zdezserializowany przed jakimkolwiek etapem uwierzytelnienia, prowadząc bezpośrednio do wykonania kodu w kontekście serwera. Podatność jest podobna do CVE-2025-49213, lecz dotyczy innej metody w tym samym komponencie.
Atakujący bez żadnych uprawnień może uzyskać pełne zdalne wykonanie kodu (RCE) na podatnym serwerze, co prowadzi do kompromitacji poufności, integralności oraz dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersji poprawki dostępne pod adresem https://success.trendmicro.com/en-US/solution/KA-0019928
Trend Micro Endpoint Encryption PolicyServer zainstalowany na Microsoft Windows — dokładne wersje wskazane w referencjach producenta (https://success.trendmicro.com/en-US/solution/KA-0019928)
Podatność jest powiązana z CVE-2025-49213, która dotyczy podobnego mechanizmu insecure deserialization w tym samym komponencie, lecz w innej metodzie. Zaleca się jednoczesne zaadresowanie obu CVE.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows
OSMicrosoftwszystkie wersjeTrendmicro Trend Micro Endpoint Encryption
APPTrendmicro< 6.0.0.4013
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit