HackerNews 编译，转载请注明出处： 趋势科技敦促其Apex One终端安全解决方案本地版本的用户安装更新，以修复两个0day漏洞。该公司于周二发布的安全公告警告客户，两个被追踪为CVE-2025-54948和CVE-2025-54987的关键漏洞已在至少一起野外攻击中被利用。 这些安全漏洞被称为操作系统命令注入问题，会影响Apex One管理控制台。未经身份验证的远程攻击者可以利用这些漏洞上传恶意代码，并在受影响的系统上执行命令。 CVE-2025-54987被描述为“本质上与CVE-2025-54948相同”，但影响不同的CPU架构。 趋势科技告知客户：“对于这个特定的漏洞，攻击者必须能够访问趋势科技Apex One管理控制台。因此，如果客户将控制台IP地址暴露在外部，应考虑采取诸如源限制之类的缓解措施（如果尚未应用的话）。” 根据公告，漏洞已于8月1日报告给趋势科技，该公司似乎紧急发布了漏洞补丁。 目前尚未分享有关利用CVE-2025-54948和/或CVE-2025-54987的0day攻击的详细信息。 漏洞由台湾网络安全公司CoreCloud Tech的研究员Jacky Hsieh报告。 威胁行为者针对趋势科技产品漏洞发起攻击的情况并不罕见。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息，因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击（CVE-2022-40139）。我们建议尽快更新到最新版本。” 该公司指出，只有有权访问身份验证数据的攻击者才能利用该漏洞。 趋势科技没有分享利用此漏洞进行攻击的详细信息。 以下是安全公司解决的漏洞列表： 适用漏洞 产品/组件/工具 CVSS3.0 严重性 评分 CVE-2022-40139 Apex One 7.2  高 CVE-2022-40140 5.5 中 CVE-2022-40141 Apex One SaaS 5.6 中 CVE-2022-40142 7.8 高 CVE-2022-40143 7.3 高 CVE-2022-40144 8.2 高   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文