CRITICAL✓ PATCH🇬🇧 English

CVE-2025-8070

Unquoted service path w ABP i AES — privilege escalation do SYSTEM

CVSS 9.2v4.0pub. 2025-07-23upd. 2026-04-15

Podatność typu unquoted ImagePath w konfiguracji usług Windows dla produktów ABP i AES firmy ASUSTOR umożliwia lokalnemu atakującemu wykonanie dowolnego kodu. W przypadku usług działających z podwyższonymi uprawnieniami eksploatacja prowadzi do privilege escalation do poziomu SYSTEM.

Pokaż oryginał (EN)

The Windows service configuration of ABP and AES contains an unquoted ImagePath registry value vulnerability. This allows a local attacker to execute arbitrary code by placing a malicious executable in a predictable location such as C:\Program.exe. If the service runs with elevated privileges, exploitation results in privilege escalation to SYSTEM level. This vulnerability arises from an unquoted service path affecting systems where the executable resides in a path containing spaces. Affected products and versions include: ABP 2.0.7.6130 and earlier as well as AES 1.0.6.6133 and earlier.

🤖 Analiza AI
Jak działa

Wartość rejestru ImagePath dla usług Windows ABP i AES nie jest ujęta w cudzysłowy, mimo że ścieżka do pliku wykonywalnego zawiera spacje. System Windows, próbując zinterpretować taką ścieżkę, sprawdza kolejno skrócone warianty, co pozwala atakującemu umieścić złośliwy plik wykonywalny w przewidywalnej lokalizacji, np. C:\Program.exe. Po uruchomieniu usługi system Windows wykonuje podrzucony plik zamiast prawidłowego pliku aplikacji. Jeśli usługa działa z podwyższonymi uprawnieniami, atakujący uzyskuje pełną kontrolę nad systemem na poziomie SYSTEM.

Skutki

Lokalny atakujący może wykonać dowolny kod w kontekście usługi, a jeżeli usługa posiada uprawnienia SYSTEM, może przejąć pełną kontrolę nad systemem operacyjnym (privilege escalation do SYSTEM).

Mitygacja

Należy zaktualizować ABP do wersji wyższej niż 2.0.7.6130 oraz AES do wersji wyższej niż 1.0.6.6133. Szczegółowe informacje o dostępnych patchach znajdują się w komunikacie bezpieczeństwa producenta: https://www.asustor.com/security/security_advisory_detail?id=47

Kogo dotyczy

ABP w wersji 2.0.7.6130 i wcześniejszych oraz AES w wersji 1.0.6.6133 i wcześniejszych działające na systemach Windows, gdzie ścieżka instalacji zawiera spacje.

Uwagi

Podatność wymaga lokalnego dostępu do systemu (wektor AV:L), co ogranicza powierzchnię ataku — atakujący musi posiadać konto lokalne lub możliwość zapisu w ścieżce systemowej. CWE-428 (Unquoted Search Path or Element) jest klasyczną, dobrze udokumentowaną klasą podatności w środowiskach Windows.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCELPE
CWE
Referencje