趋势科技本周发布产品更新,分别修补影响端点加密Endpoint Encryption及安全控管平台Apex Central的多项高风险甚至重大漏洞。
趋势科技分别透过二项安全公告来修补漏洞。编号CVE-2025-49211到CVE-2025-49218,影响Trend Micro Endpoint Encryption(EMEE)PolicyServer元件。其中CVE-2025-49212、CVE-2025-49213、CVE-2025-49214及CVE-2025-49217为反序列化(deserialization)漏洞,攻击者以未信任资料触发不安全反序列化,导致验证前的远端程式码执行(RCE)。这些漏洞类似,但反序列方法不同。四项漏洞除CVE-2025-49214为8.8风险值外,其他三者CVSS 3.1风险值达9.8。
CVE-2025-49216为验证绕过漏洞,使攻击者以管理员身份修改产品配置,本漏洞风险值亦为9.8。另二项漏洞中,CVE-2025-49215和CVE-2025-49218为SQL指令注入提权漏洞,CVSS 3.1风险值各为8.8和8.7。
影响Apex Central的另一批漏洞为CVE-2025-49219及CVE-2025-49220,二者皆为反序列漏洞,可导致前验证的远端程式码执行,两者类似但方法不同,风险值皆为CVSS 3.1 9.8。
趋势科技表示,上述漏洞皆没有已被滥用的迹象。趋势科技已释出更新修补漏洞,虽然其中有些漏洞需要攻击者具备权限,或是实际存取到系统,但业者强烈建议用户尽速安装最新版本软体。