平台
other
组件
trend-vision-one
修复版本
NA
CVE-2025-31282 描述了 Trend Vision One 用户账户组件中的一个访问控制缺陷。该漏洞允许攻击者创建用户,随后更改这些用户的角色,最终导致权限提升。受影响的版本包括 ≤NA。虽然该问题已在后端服务中得到解决,不再被视为活跃漏洞,但仍需关注安全更新。
该漏洞的潜在影响是显著的。攻击者利用此漏洞可以绕过正常的访问控制机制,创建具有特权的用户账户。这些账户可以被用于访问敏感数据、修改系统配置,甚至完全控制 Trend Vision One 系统。攻击者可能利用该漏洞进行横向移动,攻击其他连接到系统的设备和网络。虽然目前已修复,但过去可能存在利用窗口,导致数据泄露和系统损坏的风险。
该漏洞已于 2025 年 4 月 2 日公开披露。目前没有已知的公开利用程序 (PoC)。CISA 尚未将其添加到 KEV 目录。根据 Trend Micro 的声明,该问题已在后端服务中解决,因此当前利用风险较低。建议持续关注安全公告,以获取最新的信息。
Organizations utilizing Trend Vision One, particularly those with legacy configurations or deployments where user account management practices may not adhere to security best practices, are at risk. Shared hosting environments where multiple administrators share access to the Trend Vision One platform could also be vulnerable.
disclosure
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
CVSS 向量
由于该漏洞已在后端服务中解决,因此无需进行版本升级。建议用户定期检查 Trend Vision One 的安全配置,确保遵循最佳实践。实施最小权限原则,限制用户账户的权限,降低潜在风险。监控系统日志,检测任何异常活动。虽然官方未提供具体的 WAF 或代理规则,但建议实施严格的访问控制策略,限制对用户账户管理功能的访问。
Este problema ya ha sido solucionado en el servicio backend de Trend Vision One. No se requiere ninguna acción por parte del usuario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31282 是 Trend Vision One 用户账户组件中的一个访问控制缺陷,允许攻击者提升权限。
如果您的 Trend Vision One 版本小于或等于 NA,则可能受到影响。请查阅官方安全公告以确认。
由于该问题已在后端服务中解决,无需进行版本升级。建议定期检查安全配置。
目前没有已知的公开利用程序,但建议持续关注安全公告。
请访问 Trend Micro 的官方安全公告页面,搜索 CVE-2025-31282 以获取更多信息。