聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
华硕提醒称,启用 AiCloud 的路由器中存在一个认证绕过漏洞,可导致远程攻击者在设备上执行未授权函数执行。
该漏洞的编号是CVE-2025-2492,CVSS v4评分为9.2,可通过一个特殊构造的请求遭远程利用且无需认证,使其尤为危险。华硕在安全通告中提到,“某些华硕路由器固件系列中存在一个认证控制不当漏洞。一个构造请求即可触发该漏洞。”
AiCloud 是很多华硕路由器内置的基于云的远程访问特性,可将路由器转换为小型的私有云服务器。用户可通过AiCloud 访问从任何地方经由互联网连接到该路由器的USB驱动上的文件,远程访问流媒体、访问家庭网络和其它云存储服务之间的同步文件,并通过链接与他人共享文件。
该漏洞位于 AiCloud 中,影响大量机型。华硕已为多个固件分支发布修复方案,包括 3.0.0.4_382系列、3.0.0.4_386系列、3.0.0.4_388系列和3.0.0.6_102系列。
建议用户升级至相关型号的最新固件版本,可从厂商的支持门户或产品查询页面获得相关信息。另外,华硕还给出如何申请固件更新的详细指南。华硕还建议用户使用唯一密码保护无线网络安全和路由器管理员页面,并确保密码至少为10个字符长度且由字母、数字和字符组成。
建议已达生命周期产品的受影响用户完全禁用 AiCloud 并关闭 WAN 的互联网访问权限、端口转发、DDNS、VPN服务器、DMZ、端口触发和FTP服务。
虽然尚未有关于CVE-2025-2492已遭活跃利用或公开 PoC 利用的报告,但攻击者一般都会通过恶意软件利用这些漏洞或将其纳入 DDoS 僵尸网络中。因此,强烈建议用户尽快升级至最新固件版本。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
