2月24日資安公司趨勢科技修補旗下端點防護系統Apex One資安漏洞,其中又以被評為重大層級的管理主控臺資料夾遍歷(Directory Traversal)漏洞,最受到關注。針對這些漏洞帶來的影響,我們也詢問趨勢科技,該公司表示目前尚未看到相關攻擊發生的跡象。
這些重大層級的漏洞被登記為CVE-2025-71210、CVE-2025-71211列管,趨勢僅提及攻擊者能用來上傳惡意程式碼,並遠端執行任何命令,CVSS風險評為9.8分(滿分10分),影響內部環境自行建置的Apex One、雲端服務型態的Apex One as a Service,以及Trend Vision One Endpoint Security - Standard Endpoint Protection,該公司表示他們已緩解SaaS版本的弱點,使用者無須自行套用緩解措施。
雖然漏洞被評為重大層級,不過趨勢科技指出,攻擊者利用漏洞存在必要條件,那就是能夠存取Apex One管理主控臺,假若企業組織的主機IP位址外流,應該也要考慮限縮存取來源,作為因應此風險的措施。而對於上述兩個重大漏洞,趨勢科技的說明幾乎幾乎完全相同,主要差異在於,漏洞存在不同的執行檔元件。
這次趨勢科技也修補兩個高風險漏洞CVE-2025-71212、CVE-2025-71213,攻擊者都能將其用於進行權限提升,風險程度都為7.8分,不過發生的原因不同:CVE-2025-71212是掃描引擎的連結追蹤弱點,CVE-2025-71213是因為來源驗證錯誤而形成。攻擊者必須事先取得執行低權限程式碼的許可,才能利用這些漏洞。
附帶一提,這次該公司也對2025年8月修補的重大漏洞CVE-2025-54987和CVE-2025-54948(CVSS風險值為9.4),導入經過改良的防護措施。值得留意的是,兩個月前趨勢也為旗下的應用系統管理平臺Apex Central修補重大漏洞CVE-2025-69258,未經驗證的攻擊者可載入惡意DLL到該平臺的重要執行檔,以SYSTEM權限執行任意程式碼,CVSS風險評為9.8。
熱門新聞
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-02-26
2026-03-02