トレンドマイクロ Apex Oneに複数の脆弱性を修正(CVE-2025-71210〜71217)

セキュリティニュース

投稿日時: 更新日時:

トレンドマイクロ Apex Oneに複数の脆弱性を修正(CVE-2025-71210〜71217)

Trend Microは2026年2月24日、Apex OneおよびApex One (Mac)に関するセキュリティ情報を公開し、複数の脆弱性(CVE-2025-71210〜71217)への対処としてApex One向けのCritical Patch(CP)を提供しました。深刻度はHigh〜Critical、CVSS 3.1は7.2〜9.8とされています。

概要

本リリースの中心はWindows版Apex Oneの管理コンソールに関する脆弱性で、ディレクトリトラバーサルに起因するリモートコード実行(RCE)が2件(CVE-2025-71210/71211、いずれもCVSS 9.8)含まれます。加えて、ローカル権限昇格(LPE)関連の脆弱性(CVE-2025-71212/71213、各CVSS 7.8)も案内されています。

Mac側(CVE-2025-71214〜71217)は、CVE参照としての情報提供扱いで、ActiveUpdate/SaaS更新により2025年中頃〜後半に対応済みと説明されています。

影響を受ける製品と深刻度

  • 対象CVE:CVE-2025-71210〜71217

  • プラットフォーム:Windows、Mac

  • CVSS 3.1:7.2〜9.8(High〜Critical)

  • 影響製品例:Apex One 2019(オンプレ、Windows)/Apex One as a Service(Windows)/Apex One (Mac)(SaaS更新で対応済みの旨)

原因

公式の説明では、管理コンソールやエージェントコンポーネントにおける入力検証や検証処理の不備が原因で、ディレクトリトラバーサル(CWE-22)によるRCE、リンク追従(CWE-59)・オリジン検証エラー(CWE-346)・TOCTOU(CWE-367)による権限昇格につながる可能性があるとしています。