Trend Micro Apex Centralに重大な脆弱性 修正パッチを公開のため急ぎ適用を：セキュリティニュースアラート

Trend Microはオンプレミス版のApex Centralの脆弱性3件を修正するパッチを公開した。最大深刻度はCVSS 9.8で、SYSTEM権限でのコード実行やDoS攻撃の恐れがある。速やかな最新版への更新が求められる。

[ITmedia エンタープライズ編集部]

　Trend Microは2026年1月7日（現地時間）、統合管理製品「Trend Micro Apex Central」（以下、Apex Central）のオンプレミス版に複数の脆弱（ぜいじゃく）性が確認されたとして、修正パッチの提供を開始した。対象となる脆弱性はCVE-2025-69258とCVE-2025-69259、CVE-2025-69260の3件とされる。

オンプレ版Apex Centralに3件の脆弱性　CVSS 9.8のものも存在

　影響を受けるのは「Windows」で稼働するApex Centralのうち、Build 7190未満のバージョンだ。これらの脆弱性に対処するため、Critical Patch Build 7190が公開され、入手可能な状態となっている。

　CVE-2025-69258は「LoadLibraryEX」関数の処理に起因するリモートコード実行の脆弱性とされている。共通脆弱性評価システム（CVSS）v3.1のスコアは9.8、深刻度「緊急」（Critical）と評価されている。この問題により、認証を受けていない攻撃者が細工したDLLを読み込ませることが可能となり、影響を受ける環境ではSYSTEM権限で任意のコードが実行される恐れがある。

　CVE-2025-69259やCVE-2025-69260は、いずれもサービス拒否状態を引き起こす可能性がある脆弱性だ。前者はメッセージ処理におけるNULL戻り値の確認不足、後者は領域外読み取りに関連する問題で、いずれもCVSS v3.1のスコアは7.5、深刻度「重要」（High）と評価されている。

　Trend Microは、一般的にこの種の脆弱性を悪用するには対象システムへの物理的またはネットワーク経由のアクセスが必要になると説明している。その上で、パッチ適用と同時に、管理サーバへのアクセス経路や境界防御の設定を確認するよう利用者に呼びかけている。またオンプレミス版のApex CentralにCritical Patch Build 7190を適用することが対処方法として示されており、信頼されたネットワークからのみ接続を許可する運用が被害抑止につながると述べている。

　これらの脆弱性は、セキュリティ企業Tenableからの責任ある開示を通じて把握された。Tenableは技術的な解析結果およびPoC（概念実証）用のコードを公開しており、特定のメッセージ処理を通じて問題が再現可能であることを示している。

　Trend Microは修正済みビルドへの更新を早期に実施するよう強く求めている。より新しいバージョンが利用可能な場合には最新版への更新も選択肢になるとしており、ダウンロードセンターから必要な前提ソフトウェアを取得した上で適用するよう案内している。