つみかさね

CVE-2025-20701

High(8.8)

CVE-2025-20701 — Airoha Bluetooth Audio SDK ユーザー同意なしのペアリング

公開日: 2026-06-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Bluetooth Audio SDKAiroha Technology複数バージョン(ベンダーアドバイザリ参照)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Airoha Bluetooth Audio SDK を使用しているデバイスのファームウェアバージョンを確認する
  2. 2ベンダーのProduct Security Bulletinを参照して修正ファームウェアを確認する
  3. 3修正ファームウェアが提供されている場合はアップデートを実施する

影響対象

Airoha Bluetooth Audio SoCを搭載したオーディオデバイス利用者

補足

  • -Bluetooth は物理的な近傍(Adjacent Network)が必要なため、公衆場所での利用に注意してください
CVEAirohaBluetooth権限昇格CWE-863

概要

Airoha Bluetooth Audio SDK に、ユーザーの同意なしにリモートからBluetooth オーディオデバイスをペアリングできる脆弱性があります。追加の実行権限は不要で、ユーザー操作も必要とせずにリモートから権限昇格が可能です。

本脆弱性は 2025年8月に最初に公開され、2026年6月に FullDisclosure メーリングリストで改めて取り上げられました。Airoha の Bluetooth Audio SoC は多くの TWS(True Wireless Stereo)イヤホンやオーディオアクセサリに採用されています。

CVSSベクトル

項目
スコア8.8 (HIGH)
Attack VectorAdjacent Network
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh

影響を受けるソフトウェア

製品ベンダーバージョン
Bluetooth Audio SDKAiroha Technology複数バージョン

修正バージョンと回避策

  • 修正情報: Airoha Product Security Bulletin 2025 を参照
  • 回避策: Bluetooth を使用しない場合は無効化する。信頼できないデバイスからのペアリングリクエストに注意する

関連リンク

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-20701
Airoha:https://www.airoha.com/product-security-bulletin/2025
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。