Trend Micro veröffentlichte die Warnung am Donnerstag. Bei CVE-2026-34926 handelt es sich um eine Directory-Traversal-Schwachstelle im Server der On-Premise-Variante von Apex One. Über sie kann ein lokaler Angreifer eine zentrale Tabelle („key table") auf dem Server manipulieren und so Schadcode einbringen, der dann auf die Agenten betroffener Installationen ausgerollt wird.
Das Unternehmen betont die hohen Hürden für einen erfolgreichen Angriff: Die Lücke betrifft nur die lokal installierte Version, und der Angreifer muss Zugriff auf den Apex-One-Server haben sowie zuvor auf anderem Weg administrative Zugangsdaten erlangt haben. Dennoch erklärte Trend Micro, sein System TrendAI habe mindestens einen Ausnutzungsversuch in freier Wildbahn registriert.
Die US-Behörde CISA fügte CVE-2026-34926 ihrer Liste der aktiv ausgenutzten Schwachstellen hinzu und verpflichtete die Bundesbehörden, ihre Geräte bis zum 4. Juni abzusichern. Derartige Schwachstellen seien häufige Angriffsvektoren für Akteure mit böswilligen Absichten und stellten ein erhebliches Risiko für die Bundesverwaltung dar, so die Behörde. Sie empfahl, die Herstellervorgaben umzusetzen, die einschlägigen Richtlinien nach BOD 22-01 für Cloud-Dienste zu befolgen oder das Produkt einzustellen, falls keine Gegenmaßnahmen verfügbar seien.
Am selben Donnerstag stellte Trend Micro zudem Sicherheitsupdates für sieben Schwachstellen zur lokalen Rechteausweitung im Agenten der Apex One Standard Endpoint Protection (SEP) bereit. Diese lassen sich ausnutzen, wenn ein Angreifer bereits Code mit niedrigen Rechten auf dem Zielsystem ausführen darf.
Apex One ist in den vergangenen Jahren wiederholt ins Visier von Angreifern geraten, oft im Rahmen von Zero-Day-Attacken. So warnte Trend Micro im August 2025 vor einer aktiv ausgenutzten Schwachstelle zur Codeausführung aus der Ferne (CVE-2025-54948) und schloss bereits im September 2022 (CVE-2022-40139) sowie im September 2023 (CVE-2023-41179) zwei weitere ausgenutzte Zero-Day-Lücken. Derzeit führt CISA insgesamt zwölf Schwachstellen in Trend Micro Apex, die in Angriffen ausgenutzt wurden oder weiterhin werden.
