CVE-2025-8070

報告者

松本 一真

概要

ASUSTOR製品のWindowsサービス設定において、サービスの実行ファイルパスが引用符で囲まれていない状態（Unquoted Service Path）が存在し、CWE-428（Unquoted Search Path or Element）に該当する脆弱性があります。
この構成不備により、攻撃者は「C:\Program.exe」などの予測可能な場所に悪意ある実行ファイルを配置することで、サービス起動時に意図せずその実行ファイルが実行される可能性があります。これにより、攻撃者がSYSTEM権限を取得する可能性があります。

影響を受けるシステムおよびバージョン

ASUSTOR Backup Plan（ABP） バージョン 2.0.7.6130以前
ASUSTOR EZSync（AES） バージョン 1.0.6.6133以前

CVSS

CVSS4 Base Score: 9.2 Critical
CVSS4 Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:N/SA:N

参考情報

https://www.asustor.com/ja/security/security_advisory_detail?id=47
https://nvd.nist.gov/vuln/detail/CVE-2025-8070