Plateforme
other
Composant
trend-vision-one
Corrigé dans
NA
Une vulnérabilité de contrôle d'accès défectueux a été découverte dans le composant User Roles de Trend Vision One. Cette faille permettait à un administrateur de créer des utilisateurs capables de modifier le rôle de leur compte, conduisant potentiellement à une escalade de privilèges. Les versions affectées sont celles inférieures ou égales à NA. Le problème a déjà été résolu côté serveur et n'est plus considéré comme une vulnérabilité active.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de contrôle d'accès et d'obtenir des privilèges accrus au sein de l'environnement Trend Vision One. Un administrateur malveillant ou un attaquant ayant compromis un compte administrateur pourrait créer de nouveaux utilisateurs avec des rôles privilégiés, leur permettant d'accéder à des données sensibles, de modifier la configuration du système ou d'exécuter des actions non autorisées. Le rayon d'impact de cette vulnérabilité est significatif, car elle peut compromettre l'intégrité et la confidentialité des données gérées par Trend Vision One.
Cette vulnérabilité a été découverte et corrigée par Trend Micro. Bien qu'elle ne soit plus considérée comme active, il est important de noter que des attaquants pourraient tenter d'exploiter des systèmes non mis à jour ou mal configurés. Aucune preuve d'exploitation active n'a été rapportée publiquement à ce jour. La vulnérabilité a été publiée le 2025-04-02.
Organizations using Trend Vision One, particularly those with multiple administrators or complex user role configurations, are at risk. Legacy installations that have not been regularly updated or patched are also vulnerable. Shared hosting environments utilizing Trend Vision One should be carefully monitored for suspicious user activity.
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
Vecteur CVSS
Bien que le problème ait été corrigé côté serveur et ne soit plus considéré comme une vulnérabilité active, il est recommandé de vérifier la configuration actuelle de Trend Vision One pour s'assurer qu'il n'existe pas de comptes utilisateurs avec des privilèges excessifs. Il est également conseillé de revoir les politiques de gestion des utilisateurs et de mettre en œuvre des contrôles d'accès stricts pour limiter les privilèges accordés aux utilisateurs. En l'absence de version corrigée disponible, une revue minutieuse des droits d'accès est primordiale.
Este problema ya ha sido solucionado en el servicio backend. No se requiere ninguna acción por parte del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-31283 is a medium severity vulnerability in Trend Vision One's User Roles component allowing privilege escalation via user account manipulation. It's currently considered inactive due to a backend service fix.
If you are using Trend Vision One versions less than or equal to NA, you were potentially affected. Verify the backend service fix has been applied to your system.
The vulnerability is reported as fixed on the backend service. Verify the fix's implementation and review user roles and permissions. Consult the official Trend Micro advisory for detailed instructions.
Currently, there are no confirmed reports of active exploitation of CVE-2025-31283. However, unpatched systems remain potentially vulnerable.
Refer to the official Trend Micro security advisory for CVE-2025-31283. The specific URL can be found on the Trend Micro website or through security news outlets.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.