CISA ha emitido una advertencia crítica con respecto a una vulnerabilidad de inyección de comandos del sistema operativo de alta severidad en la tendencia micro apex una consola de gestión que los actores de amenaza están explotando activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-54948 y clasificada bajo CWE-78, plantea riesgos significativos para las organizaciones que ejecutan instalaciones locales de la plataforma de seguridad empresarial.
Control de llave
1. CISA confirma CVE-2025-54948 ataques a la tendencia micro apex uno.
2. Los atacantes remotos ejecutan comandos del sistema operativo sin autenticación en los sistemas locales.
3. Parche inmediatamente o suspenda el uso si no está disponible.
Flaw de inyección de comando OS (CVE-2025-54948)
La vulnerabilidad CVE-2025-54948 afecta a las implementaciones de la consola de administración de tendencia a la tendencia de la tendencia, una consola de gestión, creando un vector de ataque peligroso para atacantes remotos preautenticados.
Esta falla de inyección de comandos del sistema operativo permite a los actores maliciosos cargar código arbitrario y ejecutar comandos del sistema en instalaciones comprometidas, lo que puede conducir a un compromiso completo del sistema.
La vulnerabilidad proviene de una validación de entrada insuficiente dentro de la interfaz de la consola de administración, lo que permite a los atacantes inyectar comandos de sistema operativo malicioso a través de solicitudes especialmente diseñadas.
Una vez explotado, el defecto otorga a los atacantes la capacidad de ejecutar comandos arbitrarios con los privilegios de la aplicación, evitando efectivamente los controles de seguridad y obteniendo acceso no autorizado a sistemas sensibles.
Los investigadores de seguridad han clasificado esta vulnerabilidad bajo CWE-78 (neutralización inadecuada de elementos especiales utilizados en un comando OS), lo que indica la desinfección inadecuada de la entrada proporcionada por el usuario antes de pasarlo a las funciones de ejecución de comandos del sistema.
La naturaleza preautenticada de la exploit la hace particularmente preocupante, ya que los atacantes no requieren credenciales válidas para aprovechar la vulnerabilidad.
Factores de riesgo Los productos afectados por la ejecución del código de la consola de administración (instalaciones locales) de la ejecución del código de impactremote, ejecución arbitraria de comandos de comandos requisitos requisitos previos autorizados a la puntuación de accesscvss 3.1 1.8 (crítico) autorizados.
Mitigaciones
CISA ha agregado CVE-2025-54948 a su catálogo de vulnerabilidades explotados conocidos el 18 de agosto de 2025, con una fecha límite de remediación obligatoria del 8 de septiembre de 2025, para las agencias federales.
La agencia recomienda encarecidamente que las organizaciones apliquen mitigaciones proporcionadas por los proveedores de inmediato o descontinúen el uso de productos afectados si los parches no están disponibles.
Si bien se desconoce si esta vulnerabilidad se ha incorporado a las campañas de ransomware, el estado de explotación activa indica que los actores de amenaza sofisticados ya están armando este defecto.
Las organizaciones deben priorizar los esfuerzos de parcheo e implementar controles de segmentación de red adicionales en torno a las implementaciones de APEX One como medidas de protección provisionales.
Trend Micro ha publicado avisos de seguridad y orientación de remediación a través de sus canales de soporte técnico.
Los administradores del sistema deben revisar inmediatamente sus implementaciones de consola de administración Apex One, aplicar actualizaciones de seguridad disponibles y monitorear los intentos de autenticación sospechosos o los patrones de ejecución de comandos de sistema inusuales.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
