2025年10月9日 — BUFFALO は本日、Windows 用ソフトウェア “NAS Navigator2” において、引用符で囲まれていないファイルパスに起因する脆弱性(CVE-2025-61871)が存在することを公表しました。
NAS Navigator2 (Windows) における引用符で囲まれていないファイルパスの脆弱性とその対処方法(JVN#69099112)
NAS Navigator2 (Windows) における引用符で囲まれていないファイルパスの脆弱性とその対処方法(JVN#69099112)のコンテンツをご紹介。
www.buffalo.jp
この脆弱性は、NAS Navigator2 がインストールされた Windows マシンにおいて、システムドライブ直下へ書き込み権限を持つ攻撃者が任意ファイルを実行できるリスクを有するとされています。
なお、macOS 版の NAS Navigator2 には本脆弱性は確認されていません。
脆弱性の影響とリスク
- 対象となるのは Windows 上に NAS Navigator2 をインストールしている環境
- 権限のある攻撃者がシステムドライブ直下にアクセスできる場合、任意のコード実行につながる可能性
- 特にネットワークストレージ(Terastation 等)を管理・運用しているユーザーは注意が必要
対処方法
BUFFALO は、NAS Navigator2 の最新版 Ver. 3.12.0 以降 へ更新することを推奨しています。
更新の手順や最新版の入手は、公式サイトのダウンロードページをご確認ください。
NAS Navigator2 には自動更新機能はありません。
手動での対応が必要です。
