アイ・オー製NAS管理アプリに権限昇格の脆弱性

アイ・オー・データ機器の「LAN DISK Zシリーズ」「APXシリーズ」などに対応した法人向けストレージの管理アプリ「NarSuSアプリ」に脆弱性が明らかとなった。利用者にアップデートが呼びかけられている。

Windowsのローカル環境において権限の昇格が可能となる脆弱性「CVE-2025-61865」が明らかとなったもの。

同アプリケーションがWindowsサービスへ登録する際、プログラムのファイルパス指定時に引用符を用いていないことに起因。システムドライブ直下にファイルを書き込む権限を保つ場合に、SYSTEM権限で任意のコードを実行されるおそれがある

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.4」、「CVSSv3.0」において「6.7」と評価されている。

同脆弱性は、GMOサイバーセキュリティbyイエラエの松本一真氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施。アイ・オー・データより修正版となる「同2.33」が提供されている。

（Security NEXT - 2025/10/24 ） ツイート

PR

関連記事

「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
「MS Edge」にアップデート - 脆弱性14件を解消
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
「GitLab」に複数の脆弱性 - アップデートで修正
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消