Trend Microは2026年2月24日、Apex OneおよびApex One (Mac)に関するセキュリティ情報を公開し、複数の脆弱性(CVE-2025-71210〜71217)への対処としてApex One向けのCritical Patch(CP)を提供しました。深刻度はHigh〜Critical、CVSS 3.1は7.2〜9.8とされています。
概要
本リリースの中心はWindows版Apex Oneの管理コンソールに関する脆弱性で、ディレクトリトラバーサルに起因するリモートコード実行(RCE)が2件(CVE-2025-71210/71211、いずれもCVSS 9.8)含まれます。加えて、ローカル権限昇格(LPE)関連の脆弱性(CVE-2025-71212/71213、各CVSS 7.8)も案内されています。
Mac側(CVE-2025-71214〜71217)は、CVE参照としての情報提供扱いで、ActiveUpdate/SaaS更新により2025年中頃〜後半に対応済みと説明されています。
影響を受ける製品と深刻度
-
対象CVE:CVE-2025-71210〜71217
-
プラットフォーム:Windows、Mac
-
CVSS 3.1:7.2〜9.8(High〜Critical)
-
影響製品例:Apex One 2019(オンプレ、Windows)/Apex One as a Service(Windows)/Apex One (Mac)(SaaS更新で対応済みの旨)
原因
公式の説明では、管理コンソールやエージェントコンポーネントにおける入力検証や検証処理の不備が原因で、ディレクトリトラバーサル(CWE-22)によるRCE、リンク追従(CWE-59)・オリジン検証エラー(CWE-346)・TOCTOU(CWE-367)による権限昇格につながる可能性があるとしています。








