平台
other
组件
trend-vision-one
修复版本
NA
CVE-2025-31284 描述了 Trend Vision One Status 组件中的访问控制漏洞。该漏洞允许攻击者创建用户,并随后修改这些用户的角色,最终导致权限提升。该问题已在 Trend Vision One 的后端服务中得到解决,目前不再被认为是活跃漏洞,但仍需关注后续安全更新。
该漏洞的潜在影响是显著的。攻击者利用此漏洞可以绕过正常的访问控制机制,创建具有特权的用户账户。这些账户可以被用于执行未经授权的操作,例如访问敏感数据、修改系统配置,甚至完全控制受影响的 Trend Vision One 系统。虽然漏洞已修复,但如果系统未及时更新,仍然存在风险。攻击者可能利用已知的漏洞信息,尝试在未修补的系统中进行攻击。
该漏洞已公开披露,且已在 Trend Vision One 的后端服务中修复。目前没有公开的利用程序 (PoC),也没有关于该漏洞被积极利用的报告。CISA 尚未将其添加到 KEV 目录。建议持续关注 Trend Micro 的安全公告和相关安全信息,以便及时了解最新的安全威胁。
Organizations utilizing Trend Vision One, particularly those with multiple administrators or complex user role structures, are at risk. Legacy configurations with default or overly permissive access controls are especially vulnerable. Shared hosting environments where multiple tenants share a Trend Vision One instance should also be scrutinized.
disclosure
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
CVSS 向量
由于该漏洞已在后端服务中修复,因此建议立即更新 Trend Vision One 系统至最新版本。由于没有提供具体的 fixed_in 版本,建议联系 Trend Micro 获取最新安全更新信息。在无法立即更新的情况下,应严格审查用户权限管理策略,确保只有授权用户才能访问敏感资源。定期审查用户账户和权限配置,并禁用不必要的账户,可以降低潜在风险。虽然漏洞已修复,但持续的安全监控仍然至关重要。
Este problema ya ha sido solucionado en el servicio backend de Trend Vision One. No se requiere ninguna acción por parte del usuario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31284 是 Trend Vision One Status 组件中的一个访问控制漏洞,允许攻击者创建用户并提升权限。
如果您运行 Trend Vision One 的过时版本(≤NA),则可能受到影响。请立即检查您的系统版本并更新。
建议立即更新 Trend Vision One 系统至最新版本。请联系 Trend Micro 获取最新安全更新信息。
目前没有关于 CVE-2025-31284 被积极利用的报告。
请访问 Trend Micro 的官方安全公告网站,搜索 CVE-2025-31284 以获取更多信息。