Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption

Trend Micro выпустила обновления безопасности, устраняющие ряд критических уязвимостей в продуктах Apex Central и Endpoint Encryption PolicyServer (TMEE), включая возможность удаленного выполнения кода без аутентификации и обход механизма авторизации.

Вендор подчеркивает, что признаков активной эксплуатации этих уязвимостей в реальных условиях не зафиксировано. Однако для снижения рисков настоятельно рекомендуется как можно скорее установить обновления безопасности.

Trend Micro Endpoint Encryption PolicyServer — это центральный сервер управления для Trend Micro Endpoint Encryption (TMEE), обеспечивающий полное шифрование диска и шифрование съемных носителей для конечных точек на базе Windows.

Продукт применяется в корпоративных средах, особенно в регулируемых отраслях, где критически важно соблюдение стандартов информационной безопасности и защиты данных.

В обновлении Trend Micro устранила следующие серьезные и критические недостатки:

• CVE-2025-49212— уязвимость удаленного выполнения кода без аутентификации, вызванная небезопасной десериализацией в классе PolicyValueTableSerializationBinder. Удаленные злоумышленники могут эксплуатировать ее для выполнения произвольного кода как SYSTEM без необходимости входа в систему
• CVE-2025-49213— уязвимость удаленного выполнения кода без аутентификации в классе PolicyServerWindowsService, возникающая из-за десериализации ненадежных данных. Злоумышленники могут запускать произвольный код как SYSTEM без необходимости аутентификации
• CVE-2025-49216 — уязвимость обхода аутентификации в службе DbAppDomain из-за сломанной реализации аутентификации. Удаленные злоумышленники могут полностью обойти вход в систему и выполнять действия на уровне администратора без учетных данных
• CVE-2025-49217 — уязвимость удаленного выполнения кода без аутентификации в методе ValidateToken, вызванная небезопасной десериализацией. Хотя эксплуатировать уязвимость немного сложнее, она все равно позволяет неаутентифицированным злоумышленникам запускать код от имени SYSTEM.

Следует отметить, что, несмотря на то что в бюллетене безопасности Trend Micro все четыре уязвимости в Endpoint Encryption PolicyServer указаны как критические, ZDI оценивает уязвимость CVE-2025-49217 как высокую, но не критическую.

В последней версии Endpoint Encryption PolicyServer также устранены четыре другие уязвимости высокой степени риска, включая SQL-инъекции и ошибки, позволяющие повысить привилегии.

Все уязвимости были устранены в версии 6.0.0.4013 (Patch 1 Update 6). Уязвимости затрагивают все версии вплоть до последней, и для них нет никаких смягчающих или обходных путей.

Второй набор устранённых уязвимостей касается Apex Central — централизованной консоли управления безопасностью, которая используется для мониторинга, настройки и администрирования различных продуктов и агентов Trend Micro в инфраструктуре организации.

Обе проблемы являются критическими, уязвимостями удаленного выполнения кода до аутентификации:

• CVE-2025-49219— уязвимость удаленного выполнения кода до аутентификации в методе GetReportDetailView Apex Central, вызванная небезопасной десериализацией. Эксплуатация этой уязвимости позволяет неаутентифицированным злоумышленникам выполнять код в контексте NETWORK SERVICE. Оценка по CVSS: 9.8.
• CVE-2025-49220 — уязвимость удаленного выполнения кода до аутентификации в Apex Central в методе ConvertFromJson. Неправильная проверка ввода во время десериализации позволяет злоумышленникам выполнять произвольный код удаленно без аутентификации. Оценка по CVSS: 9.8.

Проблемы устранены в патче B7007 для локальной версии Apex Central 2019. В облачной версии Apex Central обновления устанавливаются автоматически на сервере.