Krytyczna podatność w konsoli zarządzania Trend Micro Apex One (on-premise) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu przesłanie złośliwego kodu i wykonanie poleceń systemowych. Wysoki wynik CVSS 9.4 oraz brak wymogu interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
A vulnerability in Trend Micro Apex One (on-premise) management console could allow a pre-authenticated remote attacker to upload malicious code and execute commands on affected installations. This vulnerability is essentially the same as CVE-2025-54948 but targets a different CPU architecture.
Podatność jest sklasyfikowana jako command injection (CWE-78) i dotyczy konsoli zarządzania produktu Apex One w wersji instalowanej lokalnie (on-premise). Atakujący, bez konieczności posiadania jakichkolwiek poświadczeń (pre-authenticated), może wysłać spreparowane żądanie sieciowe w celu przesłania złośliwego kodu na podatną instalację, a następnie wywołać wykonanie dowolnych poleceń systemowych. Według opisu luka jest zasadniczo tożsama z CVE-2025-54948, lecz ukierunkowana na inną architekturę procesora.
Atakujący może uzyskać nieautoryzowany dostęp do systemu, wykonywać dowolne polecenia w jego kontekście oraz potencjalnie przejąć kontrolę nad serwisem zarządzania Apex One, co grozi naruszeniem poufności i dostępności chronionych zasobów.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Trend Micro pod adresem https://success.trendmicro.com/en-US/solution/KA-0020652. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do konsoli zarządzania Apex One wyłącznie do zaufanych adresów IP oraz wdrożenie firewalla na poziomie sieci.
Trend Micro Apex One (wersja on-premise) — konkretne wersje wskazane w referencjach producenta (https://success.trendmicro.com/en-US/solution/KA-0020652)
Podatność jest opisana przez producenta jako zasadniczo identyczna z CVE-2025-54948, lecz dotycząca innej architektury CPU. Oba przypadki należy traktować łącznie podczas planowania działań naprawczych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:HTrendmicro Apex One
APPTrendmicro2019
Powiązane podatności
Command injection w Trend Micro Apex One – RCE bez uwierzytelnienia
An arbitrary file upload vulnerability in Trend Micro Apex Central could allow an unauthenticated remote attac...
Trend Micro Apex One (2019) and OfficeScan XG server contain a vulnerable EXE file that could allow a remote a...
A path traversal vulnerability in the Trend Micro Apex One and Apex One as a Service could allow an unauthenti...
An uncontrolled search path element vulnerability in the Trend Micro Apex One Server installer could allow an ...