关键漏洞信息 漏洞名称: Trend Micro Endpoint Encryption ProcessWhereClause SQL Injection Privilege Escalation Vulnerability 漏洞编号: - ZDI-25-375 - ZDI-CAN-25526 - CVE-2025-49218 CVSS评分: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 受影响厂商: Trend Micro 受影响产品: Endpoint Encryption 漏洞详情: - 此漏洞允许远程攻击者在受影响的Trend Micro Endpoint Encryption安装上提升权限。尽管需要身份验证才能利用此漏洞,但现有的身份验证机制可以被绕过。 - 具体问题在于ProcessWhereClause方法的实现中,用户提供的字符串在用于构建SQL查询之前缺乏适当的验证。攻击者可以利用此漏洞提升对通常受保护资源的权限。 额外细节: Trend Micro已发布更新以修复此漏洞。更多详细信息请参见: https://success.trendmicro.com/en-US/solution/KA-0019928 披露时间线: - 2024-10-11: 向厂商报告漏洞 - 2025-06-11: 协调公开发布咨询 - 2025-06-11: 更新咨询 发现者: Piotr Bazydlo (@chudyqb) of Trend Micro Zero Day Initiative