关键漏洞信息 漏洞名称: Trend Micro Endpoint Encryption DeserializeFromBase64String Deserialization of Untrusted Data Remote Code Execution Vulnerability ZDI ID: ZDI-25-371 CVE ID: CVE-2025-49212 CVSS 评分: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 受影响厂商: Trend Micro 受影响产品: Endpoint Encryption 漏洞详情 描述: 此漏洞允许远程攻击者在受影响的Trend Micro Endpoint Encryption安装上执行任意代码。尽管需要身份验证才能利用此漏洞,但现有的身份验证机制可以被绕过。 具体问题: 该漏洞存在于DeserializeFromBase64String方法的实现中,由于缺乏对用户提供的数据的适当验证,导致反序列化不可信数据。攻击者可以利用此漏洞以SYSTEM上下文执行代码。 其他细节 修复措施: Trend Micro已发布更新以修复此漏洞,更多详细信息请参阅:https://success.trendmicro.com/en-US/solution/KA-0019928 披露时间线 2024-10-11: 向厂商报告漏洞 2025-06-11: 协调公开发布咨询 2025-06-11: 更新咨询 致谢 发现者: Piotr Bazydlo (@chudypl) of Trend Micro Zero Day Initiative