प्लेटफ़ॉर्म
other
घटक
trend-vision-one
में ठीक किया गया
NA
Trend Vision One के Role Name घटक में एक्सेस कंट्रोल में एक खराबी पाई गई है। इस खराबी के कारण, एक प्रशासक ऐसे उपयोगकर्ता बना सकता था जो अपने खाते की भूमिका बदल सकता था और अंततः विशेषाधिकारों को बढ़ा सकता था। प्रभावित संस्करण NA हैं। इस समस्या को बैकएंड सेवा में ठीक कर दिया गया है और अब यह सक्रिय नहीं है।
यह खराबी एक हमलावर को अनधिकृत पहुंच प्राप्त करने और सिस्टम पर नियंत्रण हासिल करने की अनुमति दे सकती है। हमलावर उपयोगकर्ता खातों की भूमिकाओं को बदलकर और विशेषाधिकारों को बढ़ाकर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है या सिस्टम को नुकसान पहुंचा सकता है। इस प्रकार की खराबी का शोषण करने से सिस्टम की सुरक्षा भंग हो सकती है और डेटा का नुकसान हो सकता है। यह Log4Shell जैसे अन्य विशेषाधिकार वृद्धि कमजोरियों के समान प्रभाव डाल सकता है, जहां प्रारंभिक पहुंच को उच्च स्तर के विशेषाधिकारों में बदल दिया जाता है।
यह CVE 2025-04-02 को प्रकाशित किया गया था। वर्तमान में, सार्वजनिक रूप से उपलब्ध कोई प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है। CISA KEV सूची में इसे शामिल नहीं किया गया है। इस खराबी का शोषण करने की संभावना मध्यम है, क्योंकि यह अब सक्रिय नहीं है, लेकिन भविष्य में इसका शोषण किया जा सकता है यदि सिस्टम को ठीक नहीं किया गया है।
Organizations relying on Trend Vision One for security management are at risk, particularly those with legacy installations or those who have not yet applied the backend service update. Shared hosting environments utilizing Trend Vision One may also be vulnerable if access controls are not properly segmented.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि यह समस्या बैकएंड सेवा में ठीक कर दी गई है और अब सक्रिय नहीं है, इसलिए तत्काल रोलबैक की आवश्यकता नहीं है। हालांकि, यह सुनिश्चित करना महत्वपूर्ण है कि सिस्टम नवीनतम सुरक्षा पैच के साथ अद्यतित है। भविष्य में इस तरह की कमजोरियों को रोकने के लिए, एक्सेस कंट्रोल नीतियों को मजबूत करना और नियमित सुरक्षा ऑडिट करना महत्वपूर्ण है। किसी भी संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करें।
Este problema ya ha sido solucionado en el servicio backend. No se requiere ninguna acción por parte del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-31285 Trend Vision One के Role Name घटक में एक्सेस कंट्रोल की खराबी है, जिससे प्रशासक विशेषाधिकार बढ़ा सकते थे। यह अब सक्रिय नहीं है।
चूंकि यह समस्या बैकएंड सेवा में ठीक कर दी गई है, इसलिए यदि आपके सिस्टम को अपडेट किया गया है तो आप प्रभावित नहीं हैं।
बैकएंड सेवा में समस्या को ठीक कर दिया गया है। सुनिश्चित करें कि आपका सिस्टम नवीनतम सुरक्षा पैच के साथ अद्यतित है।
वर्तमान में, सक्रिय शोषण का कोई प्रमाण नहीं है, क्योंकि यह समस्या ठीक कर दी गई है।
आधिकारिक एडवाइजरी के लिए Trend Micro की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।