Critical Trend Micro Apex One Vulnerabilities Allow Remote Malicious Code Execution
2026/02/27 gbhackers — Trend Micro が開示したのは、Apex One エンドポイント・プロテクション・プラットフォームに存在する 8 件のセキュリティ脆弱性に関する情報である。そのうち 2 件は、認証不要のリモート攻撃者に対して悪意のコードのアップロードを許し、影響を受けるシステム上でのコマンド実行に至る、深刻度 Critical のものである。
2026年2月24日に同社は、Solution ID KA-0022458 の下で Critical Patch を公開した。その対象は、Windows/macOS プラットフォーム上で稼働する Apex One 2019 (on-premises) である。
Trend Micro Apex One の脆弱性
Trend Micro の 2026年2月のセキュリティ・アドバイザリでは、8 件の脆弱性 CVE-2025-71210〜CVE-2025-71217 が特定されており、それらの CVSS 3.1 スコアは 7.2 〜 9.8 の範囲となっている。
最も深刻な 2 件 (CVSS:9.8:Critical) は、Apex One マネージメント・コンソールに存在するディレクトリ・トラバーサルの欠陥であり、認証なしでリモートコード実行 (RCE) を可能にする。
その他の 6 件は、High (CVSS 7.2〜7.8) と評価されており、Windows/macOS システム上でのローカル権限昇格を可能にする。
| CVE ID | Title | CVSS | Weakness | Platform | Impact |
|---|---|---|---|---|---|
| CVE-2025-71210 | Console Directory Traversal RCE | 9.8 | CWE-22 | Windows | Remote code execution via malicious upload |
| CVE-2025-71211 | Console Directory Traversal RCE | 9.8 | CWE-22 | Windows | Remote code execution; affects different executable than CVE-2025-71210 |
| CVE-2025-71212 | Scan Engine Link Following LPE | 7.8 | CWE-59 | Windows | Local privilege escalation via scan engine |
| CVE-2025-71213 | Origin Validation Error LPE | 7.8 | CWE-346 | Windows | Local privilege escalation via origin validation flaw |
| CVE-2025-71214 | Agent iCore Service Origin Validation LPE | 7.2 | CWE-346 | macOS | Local privilege escalation in iCore service |
| CVE-2025-71215 | Agent iCore TOCTOU Signature Verification LPE | 7.8 | CWE-367 | macOS | Local privilege escalation via time-of-check/time-of-use race condition |
| CVE-2025-71216 | Agent Cache Mechanism TOCTOU LPE | 7.8 | CWE-367 | macOS | Local privilege escalation via cache mechanism race condition |
| CVE-2025-71217 | Agent Self-Protection Origin Validation LPE | 7.8 | CWE-346 | macOS | Local privilege escalation in self-protection module |
このアドバイザリで最も危険な脆弱性は、CVE-2025-71210/CVE-2025-71211 である。
この 2 つの脆弱性により、Apex One マネージメント・コンソールにおけるディレクトリ・トラバーサル文字列の不適切な処理の悪用が可能になる。それにより、未認証のリモート攻撃者が、特別に細工した HTTP リクエストを送信し、任意コードのアップロードおよび実行が可能となる。
標的とされる実行ファイルは別種であるが、攻撃ベクターは同一である。ネットワーク経由でアクセス可能であり、認証およびユーザー操作は不要である。
Windows における 2 件のローカル権限昇格脆弱性 CVE-2025-71212/CVE-2025-71213 は、悪用前に低権限のコード実行アクセスが必要となる。
macOS における 4 件の脆弱性 CVE-2025-71214~CVE-2025-71217 は、単なる情報として扱われている。2025年半ばから後半にかけて、ActiveUpdate および SaaS リリース経由で既に修正済みである。
影響を受ける製品および修正
| Product | Affected Version | Platform | Fix |
|---|---|---|---|
| Apex One | 2019 (On-premises) | Windows | CP Build 14136 |
| Apex One as a Service | SaaS | Windows | Security Agent Build 14.0.20315 |
| Trend Vision One Endpoint – Standard Endpoint Protection | SaaS | Windows | Security Agent Build 14.0.20315 |
| Apex One (Mac) | All versions | macOS | Already mitigated via SaaS 2507 & 2005 Yearly Release |
緩和策のステップ
- Apex One 2019 (on-premises) に対して、Trend Micro Download Center から CP Build 14136 を直ちに適用する。
- Apex One as a Service のエージェントを、Security Agent Build 14.0.20315 へアップグレードする。
- CVE-2025-71210/CVE-2025-71211 に対する露出を最小化するために、Apex One マネージメント・コンソールへの外部 IP アクセスを制限する。
- マネージメント・コンソールが外部公開されている場合には、ソース IP 制限を強制する。
- 重要なセキュリティ・インフラに対する、すべてのリモート・アクセス・ポリシーを見直し、境界セキュリティが最新状態であることを確認する。
Trend Micro の Apex One において、合計で 8 件の脆弱性 CVE-2025-71210~CVE-2025-71217 が修正されました。最も深刻なのは、管理コンソールのディレクトリ・トラバーサルの脆弱性CVE-2025-71210/71211 であり、未認証のリモート攻撃者によるサーバ上での任意のコード実行 (RCE) が可能になります。その他にも、Windows/macOS のエージェントにおけるローカル権限昇格 (LPE) の脆弱性も修正されています。オンプレミス版 (Apex One 2019) を利用している組織は、直ちに Critical Patch Build 14136 を適用する必要があると、同社は指摘しています。SaaS 版の利用者は、エージェントが Build 14.0.20315 以降であることを確認する必要があります。
IoT OT Security News 
You must be logged in to post a comment.