Podatność insecure deserialization w Trend Micro Apex Central poniżej wersji 8.0.7007 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom zagrożenia wynika z braku wymogu jakiegokolwiek uwierzytelnienia do przeprowadzenia ataku.
▸ Pokaż oryginał (EN)
An insecure deserialization operation in Trend Micro Apex Central below version 8.0.7007 could lead to a pre-authentication remote code execution on affected installations. Note that this vulnerability is similar to CVE-2025-49219 but is in a different method.
Aplikacja deserializuje dane dostarczone przez atakującego przy użyciu niebezpiecznej operacji deserializacji (CWE-502) bez uprzedniej weryfikacji tożsamości użądającego. Przesłanie odpowiednio spreparowanego payload'u do podatnego punktu końcowego pozwala na kontrolowanie procesu deserializacji i wykonanie złośliwego kodu w kontekście aplikacji. Podatność dotyczy innej metody niż CVE-2025-49219, jednak należy do tej samej klasy błędów.
Atakujący bez żadnych uprawnień może zdalnie wykonać dowolny kod (RCE) na serwerze z uruchomionym Trend Micro Apex Central, co w konsekwencji może prowadzić do pełnego przejęcia systemu, utraty poufności, integralności i dostępności danych.
Należy niezwłocznie zaktualizować Trend Micro Apex Central do wersji 8.0.7007 lub nowszej zgodnie z zaleceniami producenta opublikowanymi pod adresem https://success.trendmicro.com/en-US/solution/KA-0019926
Trend Micro Apex Central w wersjach poniżej 8.0.7007 zainstalowany na Microsoft Windows
Podatność jest podobna do CVE-2025-49219, lecz dotyczy innej metody deserializacji w tej samej aplikacji — zaleca się jednoczesne zastosowanie patchy dla obu CVE. Szczegóły techniczne dostępne w poradniku Zero Day Initiative ZDI-25-367.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows
OSMicrosoftwszystkie wersjeTrendmicro Apex Central
APPTrendmicro2019
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit