华硕路由器漏洞可致远程越权操作

BetaHT

https://www.anquanke.com/post/id/306710

CVE-2025-2492：华硕路由器漏洞可致远程越权操作，隐私数据面临泄露风险

---

华硕（ASUS）已发布了一项固件更新，以修复一个严重程度极高的漏洞 ——CVE-2025-2492，其通用漏洞评分系统（CVSSv4）评分为 9.2。该漏洞影响了华硕的多个启用了 AiCloud 功能的路由器固件系列，可能会让攻击者远程执行未经授权的功能。

以下固件系列受到影响：
(1)3.0.0.4_382
(2)3.0.0.4_386
(3)3.0.0.4_388
(4)3.0.0.6_102


如果您无法迅速进行更新，或者正在使用已停产的路由器，华硕建议禁用以下服务：

(1)AiCloud

(2)广域网（WAN）的远程访问

(3)端口转发、动态域名服务（DDNS）、虚拟专用网络（**）服务器、 DMZ、文件传输协议（FTP）以及端口触发


--------
看了一下，最新的版本就是3006-102，但带小版本号。
官网显示最新版本的大版本号也是3006-102
所以固件版本只要是最新的大概就行吧？

messia

华硕已在 2025 年 2 月之后发布的固件更新中修复了该漏洞。用户可以从华硕支持页面或特定的网络产品页面获取最新的固件。

TincoJ

固件版本：3.0.0.4.384_9948  这个版本受影响吗？
DDNS开了

BetaHT

TincoJ 发表于 2025-4-21 14:20
固件版本：3.0.0.4.384_9948  这个版本受影响吗？
DDNS开了

问就是要升级到最新版本

aning

怪不得经常无法访问路由，但可以访问群晖

cl12121

升到最新版ddns就没了

kingw12

去看了一下,BIOS最新版本就是3.0.0.4_388.无解了吗