プラットフォーム
other
コンポーネント
trend-vision-one
修正版
NA
CVE-2025-31284は、Trend Vision One Statusコンポーネントにおけるアクセス制御の不備です。この脆弱性を悪用されると、攻撃者は特権昇格を可能にするユーザーを作成できる可能性があります。影響を受けるバージョンは特定されていませんが、バックエンドサービスで既に修正が適用されており、現在はアクティブな脆弱性とは見なされていません。
この脆弱性は、認証された管理者が、本来アクセス権限のない操作を実行できる可能性を秘めています。具体的には、攻撃者は不正なユーザーアカウントを作成し、そのアカウントのロールを変更することで、システム内の権限を昇格させることが考えられます。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、この脆弱性を利用して、ネットワーク内の他のシステムへの横展開を試みる可能性も否定できません。
この脆弱性は、2025年4月2日に公開されました。現在、この脆弱性を悪用した攻撃キャンペーンに関する情報は確認されていません。CISA KEVカタログへの登録状況も確認されていません。ただし、同様のアクセス制御の不備を悪用した攻撃事例は過去に存在しており、将来的に悪用される可能性は否定できません。
Organizations utilizing Trend Vision One, particularly those with multiple administrators or complex user role structures, are at risk. Legacy configurations with default or overly permissive access controls are especially vulnerable. Shared hosting environments where multiple tenants share a Trend Vision One instance should also be scrutinized.
disclosure
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性は既にバックエンドサービスで修正されているため、アップデートを適用することが推奨されます。ただし、アップデートが利用できない場合や、アップデートによってシステムに影響が生じる場合は、一時的な回避策として、アクセス制御の強化や、不要な権限の削除などの対策を講じることが考えられます。また、この脆弱性の悪用を検知するためのシグネチャを、侵入検知システムやセキュリティ情報イベント管理(SIEM)システムに登録することも有効です。アップデート適用後、システムが正常に動作することを確認してください。
Este problema ya ha sido solucionado en el servicio backend de Trend Vision One. No se requiere ninguna acción por parte del usuario.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-31284は、Trend Vision One Statusコンポーネントにおけるアクセス制御の不備であり、攻撃者が特権昇格を可能にするユーザーを作成できる可能性があります。
影響を受けるバージョンはNAですが、Trend Vision Oneを導入している組織は、最新のセキュリティ情報を確認し、適切な対策を講じることを推奨します。
バックエンドサービスで既に修正が適用されているため、アップデートを適用することが推奨されます。
現在、この脆弱性を悪用した攻撃キャンペーンに関する情報は確認されていません。
Trend Microのセキュリティアドバイザリページで確認できます。詳細はTrend Microの公式ウェブサイトを参照してください。