CRITICAL🇬🇧 English

CVE-2025-54987

RCE w Trend Micro Apex One – command injection bez uwierzytelnienia

CVSS 9.4v3.1pub. 2025-08-05upd. 2025-08-12

Krytyczna podatność w konsoli zarządzania Trend Micro Apex One (on-premise) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu przesłanie złośliwego kodu i wykonanie poleceń systemowych. Wysoki wynik CVSS 9.4 oraz brak wymogu interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

A vulnerability in Trend Micro Apex One (on-premise) management console could allow a pre-authenticated remote attacker to upload malicious code and execute commands on affected installations. This vulnerability is essentially the same as CVE-2025-54948 but targets a different CPU architecture.

🤖 Analiza AI
Jak działa

Podatność jest sklasyfikowana jako command injection (CWE-78) i dotyczy konsoli zarządzania produktu Apex One w wersji instalowanej lokalnie (on-premise). Atakujący, bez konieczności posiadania jakichkolwiek poświadczeń (pre-authenticated), może wysłać spreparowane żądanie sieciowe w celu przesłania złośliwego kodu na podatną instalację, a następnie wywołać wykonanie dowolnych poleceń systemowych. Według opisu luka jest zasadniczo tożsama z CVE-2025-54948, lecz ukierunkowana na inną architekturę procesora.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu, wykonywać dowolne polecenia w jego kontekście oraz potencjalnie przejąć kontrolę nad serwisem zarządzania Apex One, co grozi naruszeniem poufności i dostępności chronionych zasobów.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Trend Micro pod adresem https://success.trendmicro.com/en-US/solution/KA-0020652. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do konsoli zarządzania Apex One wyłącznie do zaufanych adresów IP oraz wdrożenie firewalla na poziomie sieci.

Kogo dotyczy

Trend Micro Apex One (wersja on-premise) — konkretne wersje wskazane w referencjach producenta (https://success.trendmicro.com/en-US/solution/KA-0020652)

Uwagi

Podatność jest opisana przez producenta jako zasadniczo identyczna z CVE-2025-54948, lecz dotycząca innej architektury CPU. Oba przypadki należy traktować łącznie podczas planowania działań naprawczych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H
  • Trendmicro Apex One

    APP
    Trendmicro
    2019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-54948CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Command injection w Trend Micro Apex One – RCE bez uwierzytelnienia

CVE-2022-26871CRITICAL9.8⚠ KEVten sam produkt

An arbitrary file upload vulnerability in Trend Micro Apex Central could allow an unauthenticated remote attac...

CVE-2020-8599CRITICAL9.8⚠ KEVten sam produkt

Trend Micro Apex One (2019) and OfficeScan XG server contain a vulnerable EXE file that could allow a remote a...

CVE-2023-32557CRITICAL9.8ten sam produkt

A path traversal vulnerability in the Trend Micro Apex One and Apex One as a Service could allow an unauthenti...

CVE-2023-25143CRITICAL9.8ten sam produkt

An uncontrolled search path element vulnerability in the Trend Micro Apex One Server installer could allow an ...

CVE-2025-54987 — RCE w Trend Micro Apex One – command injection bez uwierzytelnienia — CRITICAL 9.4 | CVEbaza.pl