Se han identificado dos vulnerabilidades de seguridad críticas en la consola de administración de Trend Micro Apex One. Un actor malicioso remoto podría explotar algunas de estas vulnerabilidades para ejecución remota de código en el sistema objetivo.
Productos afectados
- Trend Micro Apex One 2019 Management Server versión 14039 y anteriores.
- Trend Micro Apex One as a Service, versión anterior al 31 de julio de 2025.
- Trend Vision One™ Endpoint Security – Standard Endpoint Protection, versión anterior al 31 de julio de 2025.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025–54948: con una puntuación de 9.4 en CVSS v3.1. Existe una vulnerabilidad en la consola de administración de Trend Micro Apex One (local), que podría permitir que un actor malicioso remoto previamente autenticado cargue código malicioso y ejecute comandos en las instalaciones afectadas.
CVE-2025-54987: con una puntuación de 9.4 en CVSS v3.1. Existe una vulnerabilidad en la consola de administración de Trend Micro Apex One (local), que podría permitir que un actor malicioso remoto previamente autenticado cargue código malicioso y ejecute comandos en las instalaciones afectadas. Esta vulnerabilidad es básicamente la misma que la CVE-2025-54948, pero afecta a una arquitectura de CPU diferente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-54948
- https://www.cve.org/CVERecord?id=CVE-2025-54987
- https://success.trendmicro.com/en-US/solution/KA-0020652