平台
other
组件
trend-vision-one
修复版本
NA
CVE-2025-31285 描述了 Trend Vision One Role Name 组件中的一个访问控制漏洞。该漏洞允许攻击者创建用户,随后修改账户的角色,最终导致权限提升。该问题已在 Trend Vision One 的后端服务中得到解决,目前已不再被视为活跃漏洞,但仍需关注潜在风险。
该漏洞的潜在影响是显著的。攻击者可以利用此漏洞绕过正常的访问控制机制,创建具有特权的用户账户。这些账户可以被用于访问敏感数据、修改系统配置,甚至完全控制受影响的 Trend Vision One 系统。攻击者可能能够窃取机密信息,例如安全事件数据、用户凭据,或进行未经授权的配置更改,从而破坏系统的完整性和可用性。虽然该漏洞已修复,但如果系统未及时更新,仍可能存在风险。
该漏洞已于 2025 年 4 月 2 日公开披露。目前没有公开的利用程序 (PoC),但考虑到其权限提升的性质,存在被利用的风险。该漏洞未被添加到 CISA KEV 目录。建议持续关注安全社区的动态,以获取最新的威胁情报。
Organizations relying on Trend Vision One for security management are at risk, particularly those with legacy installations or those who have not yet applied the backend service update. Shared hosting environments utilizing Trend Vision One may also be vulnerable if access controls are not properly segmented.
disclosure
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
CVSS 向量
由于该漏洞已在后端服务中修复,因此建议尽快更新 Trend Vision One 系统至最新版本。由于没有提供具体的 fixed_in 版本,建议联系 Trend Micro 获取最新安全更新信息。在无法立即更新的情况下,应审查 Trend Vision One 的用户权限管理策略,确保遵循最小权限原则。定期审查用户账户和角色,删除不必要的权限,并实施多因素身份验证,以降低潜在风险。虽然漏洞已修复,但持续的安全监控仍然至关重要。
Este problema ya ha sido solucionado en el servicio backend. No se requiere ninguna acción por parte del usuario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31285 是 Trend Vision One Role Name 组件中的一个访问控制漏洞,允许攻击者创建用户并提升权限。
如果您使用 Trend Vision One,并且版本低于已修复的版本(请联系 Trend Micro 获取具体版本信息),则可能受到影响。
建议尽快更新 Trend Vision One 系统至最新版本。请联系 Trend Micro 获取最新安全更新信息。
目前没有公开的利用程序,但考虑到其权限提升的性质,存在被利用的风险。
请访问 Trend Micro 的官方安全公告网站,搜索 CVE-2025-31285 以获取更多信息。