华硕称,启用AiCloud的途由器存正在身份验证绕过缺欠,恐怕容许长途攻击者正在兴办上未经授权实践功效。
该缺欠正在CVE-2025-2492下被跟踪,并被评为合头(CVSS v4得分:9.2),能够通过特制的央求长途欺骗,不须要身份验证,这使得它尤其危殆。
“正在某些华硕途由器固件系列中存正在阻止确的身份验证把持缺欠,”供应商布告中写道。此缺欠恐怕由周到策画的央求触发,恐怕导致未经授权的功效实践。
AiCloud是一种基于云的长途拜望功效,内置正在很众华硕途由器中,将它们酿成迷你的私有云供职器。
它容许用户从互联网上的任何地方拜望邻接到途由器的USB驱动器上存储的文献,长途流媒体,正在家庭搜集和其他云存储供职之间同步文献,并通过链接与他人共享文献。
发起用户升级到适合其型号的最新固件版本,能够正在供应商的扶助派别网站或产物查找器页面上找到。合于何如行使固件更新的仔细注释能够正在这里找到。
华硕还发起用户操纵分歧的暗码来掩护他们的无线搜集和途由器执掌页面,并确保暗码长度起码为10个字符,由字母、数字和符号构成。
发起受报废产物影响的用户齐全合上AiCloud供职,并合上WAN、端口转发、DDNS、VPN供职器、DMZ、端口触发、FTP等供职的上钩。
固然目前还没有针对CVE-2025-2492的主动欺骗或公然观点验证缺欠的讲演,但攻击者常常会针对这些缺欠用恶意软件感化兴办或将其招募到DDoS群中。以是,热烈发起华硕途由器用户尽速升级到最新固件。