平台
other
组件
trend-vision-one
修复版本
NA
CVE-2025-31283 描述了 Trend Vision One 用户角色组件中的一个访问控制缺陷。该漏洞允许攻击者创建用户,随后修改该用户的角色,最终导致权限提升。该问题已在 Trend Vision One 的后端服务中得到解决,目前已不再被视为活跃漏洞,但仍需关注后续安全更新。
该漏洞的潜在影响是严重的,攻击者可以利用它来获得对 Trend Vision One 系统的未经授权的访问权限。通过创建具有特殊权限的用户,攻击者可以绕过正常的安全控制,执行恶意操作,例如修改系统配置、访问敏感数据,甚至完全控制受影响的系统。虽然该漏洞目前已修复,但如果系统未及时更新,仍然存在潜在风险。攻击者可能利用该漏洞进行横向移动,进一步渗透到网络中的其他系统。
该漏洞已公开披露,但目前尚未观察到大规模的利用活动。该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。由于该漏洞已修复,因此攻击者利用该漏洞的可能性较低,但仍需保持警惕,并持续监控系统安全。
Organizations using Trend Vision One, particularly those with multiple administrators or complex user role configurations, are at risk. Legacy installations that have not been regularly updated or patched are also vulnerable. Shared hosting environments utilizing Trend Vision One should be carefully monitored for suspicious user activity.
disclosure
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
CVSS 向量
由于该漏洞已在后端服务中修复,因此最佳的缓解措施是尽快更新 Trend Vision One 系统到最新版本。如果无法立即更新,建议实施严格的访问控制策略,限制管理员权限,并定期审查用户角色配置。监控系统日志,查找任何异常活动,并确保所有安全补丁都已及时应用。虽然官方未提供回滚步骤,但建议定期备份系统配置,以便在出现问题时进行恢复。
Este problema ya ha sido solucionado en el servicio backend. No se requiere ninguna acción por parte del usuario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31283 是 Trend Vision One 用户角色组件中的一个访问控制缺陷,允许攻击者提升权限。
如果您使用 Trend Vision One 且版本号小于或等于 NA,则可能受到影响。请尽快更新到最新版本。
最佳修复方法是更新 Trend Vision One 系统到最新版本。
目前尚未观察到大规模的利用活动,但该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。
请访问 Trend Micro 的官方安全公告页面,搜索 CVE-2025-31283 以获取更多信息。