CVE-2025-8070
複数のASUSTOR製品における引用符で囲まれていないファイルパスの脆弱性
報告者
松本 一真
概要
ASUSTOR Inc.が提供する複数の製品はWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。
影響を受けるシステムおよびバージョン
ASUSTOR Backup Plan(ABP) バージョン 2.0.7.6130以前
ASUSTOR EZSync(AES) バージョン 1.0.6.6133以前
CVSS
CVSS4 Base Score: 9.2 Critical
CVSS4 Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:N/SA:N
参考情報
https://www.asustor.com/ja/security/security_advisory_detail?id=47
https://nvd.nist.gov/vuln/detail/CVE-2025-8070