ASUSTOR注册表ImagePath漏洞CVE-2025-8070

ASUSTOR （ 华芸科技）是华硕旗下网络附加存储（NAS）品牌，专注提供高性能、高可靠性存储解决方案，是华硕直接投资成立品牌。

ASUSTOR专注于在网路储存装置（NAS）设计以及研发，提供家庭、SOHO及中小企业用户档案存储、备份、NVR监控等完善解决方案。

华芸NAS ADM3.2系统的自家数据安全软件主要由两件套组成：AES用来同步PC端和NAS端的数据；ABP用来备份PC端和NAS端的数据。

一、基本情况

Asustor Backup Plan简称ABP，用来备份PC端和NAS端的数据，ABP的Web端可实现NAS内部备份，ABP的PC端可实现PC的内部备份。

Asustor EZ Connect简称AEC，能够将NAS文件夹挂载为磁盘驱动器，能够直接连接NAS，还可以将NAS文件夹直接挂载为网络驱动器。

栋科技漏洞库关注到华硕网路储存ASUSTOR的ABP和AES受影响版本中存在漏洞，该漏洞现已被追踪为CVE-2025-8070，CVSS评分9.2。

二、漏洞分析

CVE-2025-8070高危漏洞，是ASUSTOR的ABP和AES的Windows Service服务配置中，存在着的一个未引用的ImagePath注册表值漏洞。

该漏洞是由于未引用的服务路径引起的，影响那些可执行文件位于包含空格的路径的系统，若服务以特权运行则导致权限提升到系统级别。

具体来说，漏洞源于影响系统的未加引号的服务路径，其中可执行文件驻留在包含空格路径中，即位于ABP和AES的Windows服务配置中。

本地攻击者在可预测位置（如C:\Program.exe）放置恶意可执行文件执行任意代码，若服务以提升权限运行，则导致权限提升到系统级别。

三、影响范围

ABP < 2.0.7.6130

AES < 1.0.6.6133

四、修复建议

ABP >= 2.0.7.6131

AES >= 1.0.6.6134

五、参考链接

管理员已设置登录后刷新可查看