Podatność insecure deserialization w Trend Micro Apex Central poniżej wersji 8.0.7007 umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Jest to podatność krytyczna, ponieważ atakujący nie musi posiadać żadnych uprawnień ani dostępu do konta w systemie.
▸ Pokaż oryginał (EN)
An insecure deserialization operation in Trend Micro Apex Central below versions 8.0.7007 could lead to a pre-authentication remote code execution on affected installations. Note that this vulnerability is similar to CVE-2025-49220 but is in a different method.
Błąd polega na użyciu niebezpiecznej operacji deserializacji (CWE-477, CWE-502), która przetwarza niezaufane dane dostarczone przez atakującego bez odpowiedniej weryfikacji. Atakujący może przesłać spreparowany payload do podatnego endpointu aplikacji bez wcześniejszego uwierzytelnienia. Deserializacja złośliwego obiektu prowadzi do wykonania dowolnego kodu w kontekście procesu serwera. Podatność jest podobna do CVE-2025-49220, lecz dotyczy innej metody w kodzie aplikacji.
Atakujący może zdalnie i bez uwierzytelnienia wykonać dowolny kod na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad systemem — naruszenie poufności, integralności i dostępności danych.
Należy zaktualizować Trend Micro Apex Central do wersji 8.0.7007 lub nowszej. Szczegółowe instrukcje dostępne są w biuletynie producenta pod adresem: https://success.trendmicro.com/en-US/solution/KA-0019926
Trend Micro Apex Central w wersjach poniżej 8.0.7007, zainstalowany na Microsoft Windows.
Podatność jest ściśle powiązana z CVE-2025-49220 — obie dotyczą insecure deserialization w Trend Micro Apex Central, ale w różnych metodach. Szczegóły techniczne opublikowano również w ramach programu Zero Day Initiative (ZDI-25-366).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows
OSMicrosoftwszystkie wersjeTrendmicro Apex Central
APPTrendmicro2019
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit