Trend Micro hat in dieser Woche zwei kritische Schwachstellen in seiner Endpunktsicherheitslösung Apex One geschlossen, die Angreifern die Ausführung von Schadcode aus der Ferne auf Windows-Systemen ermöglichen. Apex One erkennt und bekämpft Bedrohungen wie Malware, Spyware und schädliche Werkzeuge.

Die erste Lücke, CVE-2025-71210, beruht auf einer Path-Traversal-Schwäche in der Apex-One-Verwaltungskonsole. Sie erlaubt es Angreifern ohne Privilegien, auf ungepatchten Systemen Schadcode auszuführen. Die zweite Schwachstelle, CVE-2025-71211, ist eine weitere Path-Traversal-Lücke in derselben Konsole mit ähnlichem Umfang, betrifft aber eine andere ausführbare Datei.

In einem Sicherheitshinweis erklärte Trend Micro, dass eine erfolgreiche Ausnutzung Zugriff auf die Apex-One-Verwaltungskonsole voraussetze. Kunden, deren Konsole mit einer extern erreichbaren IP-Adresse exponiert sei, sollten daher Schutzmaßnahmen wie Zugriffsbeschränkungen nach Quelle prüfen, sofern diese noch nicht eingerichtet seien. Auch wenn ein Exploit mehrere spezifische Bedingungen erfordere, rate das Unternehmen seinen Kunden dringend, so schnell wie möglich auf die neuesten Builds zu aktualisieren.

Zur Behebung hat Trend Micro die Schwachstellen in den SaaS-Versionen von Apex One gepatcht und den Critical Patch Build 14136 veröffentlicht. Dieser schließt zudem zwei hochgradige Lücken zur Rechteausweitung im Windows-Agenten sowie vier weitere im macOS-Agenten.

Trend Micro hat die beiden kritischen Schwachstellen nicht als aktiv ausgenutzt eingestuft. Andere Apex-One-Lücken wurden in den vergangenen Jahren jedoch wiederholt für Angriffe missbraucht: Im August 2025 warnte der Hersteller vor einer aktiv ausgenutzten RCE-Schwachstelle (CVE-2025-54948), im September 2022 (CVE-2022-40139) und im September 2023 (CVE-2023-41179) wurden zwei weitere als Zero-Day-Lücken ausgenutzt.

Die US-Sicherheitsbehörde CISA führt derzeit zehn Schwachstellen in Trend Micro Apex, die entweder ausgenutzt wurden oder weiterhin aktiv angegriffen werden.