ISGroup Consultoría de Ciberseguridad

CVE-2025-54948 – Inyección de Comandos Remotos – Consola de Administración de Trend Micro Apex One

Trend Micro Apex One (on-premise) Management Console es una plataforma centralizada utilizada por las empresas para gestionar políticas de seguridad de endpoints, actualizaciones y monitoreo.
CVE-2025-54948 es una vulnerabilidad de inyección de comandos remotos no autenticada en la Management Console de Apex One. Un atacante basado en la red puede ejecutar comandos arbitrarios del sistema operativo sin autenticación enviando solicitudes especialmente diseñadas.
La vulnerabilidad afecta a las versiones de Apex One Management Server 14039 y anteriores (on-premise) y está siendo explotada activamente en entornos reales.

Fecha2025-08-13 10:31:03
Información
  • Explotación activa

Resumen técnico

La vulnerabilidad es causada por una validación insuficiente de la entrada proporcionada por el usuario en un componente expuesto a la web de la consola de gestión de Apex One.
Al crear una solicitud HTTP maliciosa, un atacante no autenticado puede inyectar comandos de sistema que el servidor ejecuta con los privilegios del proceso de la aplicación web, lo que potencialmente conduce a una compromiso completo del servidor de gestión.

Esta vulnerabilidad puede ser explotada de forma remota a través de la red, sin autenticación y sin interacción del usuario.

Dado que la Management Console de Apex One suele estar conectada a numerosos endpoints gestionados, un ataque exitoso puede proporcionar a los atacantes un punto de entrada para distribuir cargas útiles maliciosas o reconfigurar las políticas de seguridad en los dispositivos de toda la organización.
CVE-2025-54948 está estrechamente relacionada con CVE-2025-54987, que apunta a la misma vulnerabilidad en una arquitectura de CPU diferente.

Recomendaciones

  1. Aplicar la mitigación temporal: Implementar inmediatamente la herramienta de mitigación proporcionada por Trend Micro en su aviso.
  2. Planificar la actualización completa: Actualizar a la versión corregida tan pronto como esté disponible (prevista para mediados de agosto de 2025).
  3. Limitar el acceso a la red: Restringir el acceso a la interfaz de la Management Console de Apex One a redes de confianza o conexiones VPN.
  4. Monitorear los registros: Revisar los registros del servidor y de la web en busca de solicitudes sospechosas que puedan indicar intentos de explotación.
  5. Aislar e investigar: En caso de sospechar de una explotación, aislar el servidor afectado y realizar un análisis forense antes de volver a ponerlo en producción.

[Callforaction-THREAT-Footer]

In