搭载AiCloud功能的华硕（ASUS）路由器存在身份验证绕过漏洞

鹏鹏同学 黑猫安全 2025-04-21 01:16

华硕（ASUS）发布安全警告称，其搭载AiCloud功能的路由器存在身份验证绕过漏洞（编号CVE-2025-2492，CVSS v4评分9.2）。远程攻击者可通过构造特殊请求触发该漏洞，在未授权情况下执行设备功能。

华硕产品安全公告指出，”部分华硕路由器固件存在认证控制缺陷，精心构造的请求可能引发未授权功能执行。我们已为3.0.0.4_382/386/388及3.0.0.6_102系列固件发布更新补丁。”

这家台湾跨国企业建议用户定期检查设备安全设置，及时通过官方支持页面更新固件，并为Wi-Fi和管理页面设置高强度密码（至少10位含字母、数字、符号组合），避免使用”1234567890″等简单序列或密码复用。公告特别强调：”若无法立即更新固件或设备已停止维护

建议：

（1）禁用AiCloud功能

（2）关闭所有可从互联网访问的服务，包括WAN远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发及FTP服务。”

目前华硕尚未披露是否发现该漏洞已被野外利用的情况。