趨勢科技修補Apex Central重大RCE漏洞

趨勢科技上周（1/7）發出安全公告及更新版軟體，以修補Apex Central 3個漏洞，包含一個重大的遠端程式碼執行（Remote Code Execution，RCE）漏洞。

Apex Central為趨勢科技的Web化集中式管理控制臺，可管理位於閘道、郵件伺服器、檔案伺服器和企業桌面端的趨勢科技產品和服務。Apex Central和Apex One是管理控制臺分別安裝於本地部署及代管/雲端環境的產品。

趨勢科技最新修補的三項Apex Central漏洞包含CVE-2025-69258、CVE-2025-69259與CVE-2025-69260，影響Windows平臺的Apex Central本地部署（on-premise）版本，Build 7190以下皆在影響範圍內，Build 7190為已修補的最新版本。

這三項漏洞中，CVE-2025-69258為LoadLibraryEX遠端程式碼執行（RCE）漏洞，風險值9.8。這項漏洞可讓未經驗證的攻擊者載入惡意DLL到關鍵的可執行檔，而以SYSTEM權限在被駭裝置上執行攻擊者提供的程式碼。

CVE-2025-69259則是一個阻斷服務（Denial of Service，DoS）漏洞，CVSS風險值7.5。根據資安部落格說明，本漏洞出在對傳入訊息處理不當，成功濫用的遠端攻擊者可引發NULL回傳，而讓Apex Central服務當機或無回應，進而擾亂安全軟體運作。

CVE-2025-69260則是訊息越界讀取（out-of-bounds read）阻斷服務漏洞，CVSS風險值同為7.5。和CVE-2025-69259類似，本漏洞也是遠端攻擊者透過傳訊息觸發DoS狀態。

值得注意的是，雖然CVE-2025-69259和CVE-2025-69260的風險值並非重大，但趨勢科技提醒，攻擊者不需驗證，即可濫用這二個漏洞。

趨勢科技呼籲用戶儘速安裝Build 7190確保安全。濫用漏洞需要攻擊者實際或遠端存取裝置，針對未能及時安裝最新版本的用戶，趨勢科技提醒用戶檢查關鍵系統是否有可疑的遠端存取活動，並確保安全政策和周邊安全軟體保持在最新版本。