Vulnérabilité dans Trend Micro Apex One

Bulletin d'alerte

Vulnérabilité dans Trend Micro Apex One

août 2025

Résumé

Le 5 août 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Trend Micro Apex One (on-premise), une solution de sécurité utilisée pour la protection des postes de travail en entreprise.

Référencée sous CVE-2025-54948, cette vulnérabilité permet à un attaquant distant, non authentifié, d’exploiter une faiblesse dans la console de gestion du produit pour téléverser du code malveillant et exécuter des commandes arbitraires sur le serveur. Cette faille de type injection de commande système (CWE-78) compromet ainsi l’intégrité, la confidentialité et la disponibilité du système.

Solutions

Appliquer immédiatement l’outil de mitigation temporaire FixTool_Aug2025 fourni par l’éditeur.

La faille est activement exploitée : Oui

Details techniques

Score CVSS : 9.4

EPSS : 0.47

Risques : Exécution de code arbitraire

Systèmes affectés

Produits et versions concernées (versions vulnérables)

- Trend Micro Apex One (on-prem) version 2019
- Trend Micro Apex One (on-prem) Management Server versions 14039 et antérieures

Documentation

Bulletin de sécurité de Trendmicro
https://success.trendmicro.com/en-US/solution/KA-0020652
Bulletin du Certe-Santé
https://cyberveille.esante.gouv.fr/alertes/trend-micro-cve-2025-54948-2025-08-06
Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-54948
CVE Details
https://www.cvedetails.com/cve/CVE-2025-54948/
Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-54948
CWE
https://cwe.mitre.org/data/definitions/78