独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月6日、トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Trend Micro Apex One 2019 SP1
Trend Micro Apex One SaaS
Trend Vision One Endpoint Security - Standard Endpoint Protection
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、管理コンソールにおけるOSコマンドインジェクション(CVE-2025-54948、CVE-2025-54987)の脆弱性が存在し、遠隔の攻撃者によって認証無しで任意のコードを実行される可能性がある。
なおトレンドマイクロでは既に、「CVE-2025-54948」を悪用する攻撃を確認している。
JVNでは、それぞれ下記の対策を紹介している。
・Trend Micro Apex One 2019 SP1向け対策:
開発者が提供する情報をもとにFixtoolを適用。
※2025年8月中旬に恒久対策としてCritical Patchのリリースを予定。
・Trend Micro Apex One SaaSおよびTrend Vision One Endpoint Security - Standard Endpoint Protection向け対策:
2025年7月31日のメンテナンスで修正済み。
