ITW Security Bulletin: Apex One and Vision One - Standard Endpoint Protection (SEP) May 2026 Security Bulletin 漏洞概述 TrendAI 发布了 Apex One (on-premise)、Apex One as a Service 和 Endpoint Protection (SEP) 的更新,以解决多个漏洞。 发布日期: 2026年5月21日 严重性评级: MEDIUM - HIGH 威胁情报: TrendAI 观察到至少一次针对这些漏洞的野外利用尝试。 影响范围 Apex One (On-prem): 2019 (On-prem) Apex One as a Service: SaaS TrendAI Vision One Endpoint Security - Standard Endpoint Protection (SEP): Agent builds below 14.0.20731 平台: Windows 语言: English 修复方案 TrendAI 发布了以下解决方案: 请注意:虽然漏洞最初在 CP 17079 版本中解决,但针对现有 SP1 用户的 Critical Patch 更新因不相关问题被移除,并替换为 CP 18012 版本。已经应用了之前 CP 17079 版本或安装了全新 17079 版本的用户已经受到保护。 漏洞详情 CVE-2026-34926: Apex One Server Directory Traversal Vulnerability CVSSv3.1: 6.7: AV:L/AC:L/PR:N/UI:N/S:C/C:H/L 弱点: CWE-23 描述: Apex One (on-premise) 服务器中的目录遍历漏洞可能允许预认证的本地攻击者修改服务器上的密钥表,以向受影响安装中的代理注入恶意代码。 利用条件: 此漏洞仅可在 Apex One 的 on-premise 版本上利用,潜在攻击者必须能够访问 Apex One 服务器,并且已经通过其他方法获得了服务器的管理员凭据。 威胁情报: 请知悉 - TrendAI 观察到至少一次尝试在野外利用此漏洞。 CVE-2026-34927: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-27959 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-34928: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-28061 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。这与 CVE-2026-34927 类似,但存在于不同的命名管道通信机制中。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-34929: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-28077 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。这与 CVE-2026-34927 类似,但存在于不同的进程间通信机制中。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-34930: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-28089 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。这与 CVE-2026-34927 类似,但存在于不同的进程保护机制中。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-45206: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-28118 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。这与 CVE-2026-45207 类似,但存在于不同的进程保护通信机制中。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-45207: Security Agent Origin Validation Error Local Privilege Vulnerability ZDI-CAN-29177 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-346 描述: Apex One/SEP 代理中的源验证漏洞可能允许本地攻击者在受影响安装中提升权限。这与 CVE-2026-45206 类似,但存在于不同的进程保护通信机制中。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 CVE-2026-45208: Security Agent Time-Of-Check Time-Of-Use Local Privilege Vulnerability ZDI-CAN-27982 CVSSv3.1: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点: CWE-367 描述: Apex One/SEP 代理中的时间检查时间使用漏洞可能允许本地攻击者在受影响安装中提升权限。 利用条件: 请注意:攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 缓解因素 利用此类漏洞通常需要攻击者能够访问(物理或远程)易受攻击的机器。除了及时应用补丁和更新解决方案外,还建议客户审查对关键系统的远程访问,并确保策略和边界安全是最新的。 致谢 TrendAI 感谢以下个人负责任地披露这些问题并与 Trend Micro 合作保护我们的客户: TrendAI 事件响应 (IR) 团队 (CVE-2026-34926) Lays (@_L4ys) 的 TRAPA 安全团队,与 TrendAI Zero Day Initiative 合作 (CVE-2026-34927 至 34930 及 CVE-2026-45206 至 45208) 外部参考 以下公告可在 TrendAI Zero Day Initiative Published Advisories 网站找到: ZDI-CAN-27959 ZDI-CAN-28061 ZDI-CAN-28077 ZDI-CAN-28089 ZDI-CAN-28118 ZDI-CAN-29177 ZDI-CAN-27982