プラットフォーム
other
コンポーネント
trend-vision-one
修正版
NA
CVE-2025-31283は、Trend Vision Oneのユーザーロールコンポーネントにおけるアクセス制御の不備です。この脆弱性を悪用されると、管理者権限を持つユーザーが、特権昇格を可能にするユーザーを作成できてしまう可能性があります。影響を受けるバージョンは特定されていませんが、バックエンドサービスで既に修正されており、現在はアクティブな脆弱性とはみなされていません。
この脆弱性は、攻撃者がTrend Vision Oneの管理権限を不正に取得する可能性を秘めています。攻撃者は、特権昇格を可能にするユーザーを作成し、システム内の機密情報へのアクセスや、不正な操作を実行する可能性があります。この脆弱性が悪用されると、組織の機密データが漏洩したり、システムが乗っ取られたりするリスクがあります。類似の脆弱性では、攻撃者がシステム全体を制御下に置く事例も報告されています。
この脆弱性は、2025年4月2日に公開されました。現在、KEVリストには登録されていません。公開されているPoCは確認されていませんが、潜在的な攻撃対象として認識しておく必要があります。NVDおよびCISAの情報を定期的に確認し、最新の情報を把握することが重要です。
Organizations using Trend Vision One, particularly those with multiple administrators or complex user role configurations, are at risk. Legacy installations that have not been regularly updated or patched are also vulnerable. Shared hosting environments utilizing Trend Vision One should be carefully monitored for suspicious user activity.
disclosure
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
CVSS ベクトル
Trend Vision Oneのバックエンドサービスは既に修正されており、この脆弱性はアクティブな状態ではありません。しかし、念のため、Trend Microのセキュリティアドバイザリを参照し、最新のセキュリティパッチを適用することを推奨します。また、ユーザーアカウントの権限管理を厳格に行い、不要な管理者権限を付与しないようにすることが重要です。定期的なセキュリティ監査を実施し、潜在的な脆弱性を早期に発見することも有効です。
Este problema ya ha sido solucionado en el servicio backend. No se requiere ninguna acción por parte del usuario.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-31283は、Trend Vision Oneのユーザーロールコンポーネントにおけるアクセス制御の不備で、攻撃者が特権昇格を可能にするユーザーを作成できる可能性があります。
影響を受けるバージョンはNAですが、管理権限の不正取得や機密情報へのアクセスといったリスクがあります。
Trend Vision Oneのバックエンドサービスは既に修正されています。最新のセキュリティパッチを適用し、ユーザーアカウントの権限管理を厳格に行うことを推奨します。
現在、アクティブな脆弱性とはみなされていませんが、潜在的な攻撃対象として認識しておく必要があります。
Trend Microのセキュリティアドバイザリを参照してください。詳細はTrend Microのウェブサイトで確認できます。