趋势科技近日针对其企业级端点安全平台Apex One中的多个高严重性漏洞发布了安全补丁。这些漏洞主要影响Apex One管理控制台，可能导致远程代码执行，对未及时修复的系统构成严重威胁。

漏洞详情：两个严重级漏洞无需身份验证即可利用

根据趋势科技发布的公告，漏洞CVE-2025-71210“可能允许远程攻击者上传恶意代码并在受影响安装上执行命令”。该漏洞与CVE-2025-71211均获得CVSS v3评分9.8，属于严重级别。这两个漏洞源于Apex One管理控制台中的目录遍历和路径验证不当问题，攻击者无需任何身份验证即可远程利用，风险等级极高。

潜在影响：攻击者可能绕过防护、横向移动

Apex One广泛应用于企业环境，用于检测和应对端点上的恶意软件与高级威胁。由于其具备广泛的端点可见性和控制能力，平台中的漏洞一旦被利用，可能带来连锁安全风险。攻击者可能借此绕过防护措施、在企业网络中进行横向移动，并部署勒索软件或其他恶意负载，且不易被立即发现。

其他修复：两个本地提权漏洞需低权限访问

除了上述远程代码执行漏洞，趋势科技还修复了影响Apex One代理的两个本地权限提升漏洞，编号为CVE-2025-71212和CVE-2025-71213，CVSS评分为7.8。这类漏洞需要攻击者先获得系统的低权限访问，但在多阶段攻击中，常被用于提升权限和增强持久性，为后续攻击铺平道路。

缓解建议：及时打补丁，强化管理控制台防护

目前，趋势科技已为所有漏洞提供补丁，尚未发现公开的主动利用报告。安全专家建议，组织应采取分层安全方法，在及时部署补丁的同时，加强访问控制、系统强化和监控能力，以降低风险并提升整体弹性。Apex One作为企业端点安全的核心平台，其管理控制台的弱点应在风险管理中优先处理，严格限制管理端口的暴露范围，并启用多因素认证。