華碩修補路由器8項漏洞　影響啟用AiCloud服務的設備

華碩本周發佈安全公告，修補8個路由器軟體漏洞，包含一個重大風險的驗證繞過漏洞。

這8項漏洞為CVE-2025-59365到CVE-2025-59372，加上CVE-2025-12003。其中最嚴重的是CVE-2025-59366，它是位於AiCloud的驗證繞過漏洞。AiCloud是許多Asus路由器內含的雲端存取功能，其原理是利用Samba網路檔案共享協定，使路由器將檔案連接的USB裝置，如外接硬碟，透過SMB分享給其他電腦或行動裝置，讓後者存取電腦好比存取本機硬碟。

CVE-2025-59366是Samba功能的副作用，可導致未授權的攻擊者執行特定功能，漏洞風險高達CVSS score 9.2，影響啟用AiCloud的路由器。風險次高的是CVE-2025-12003，為WebDAV的路徑遍歷（path traversal）漏洞，可讓未經過驗證的遠端攻擊者破壞裝置完整性，風險值為8.2。其次為CVE-2025-59370和CVE-2025-59371，分別為指令注入及驗證繞過漏洞，皆為CVSS 7.5的高風險漏洞。

這些漏洞影響華碩路由器韌體3.0.0.4_386、3.0.0.4_388和3.0.0.6_102。華碩已釋出更新，並強烈建議所有用戶立即到官網將路由器韌體更新到最新版本。

若用戶裝置已經沒有技術支援，華碩建議用戶必須確保路由器和Wi-Fi密碼為強密碼且未和其他裝置共用。此外也必須關閉AiCloud、WAN遠端存取、傳輸埠轉送、傳輸埠觸發、DDNS、VPN Server、DMZ和FTP。

除了路由器漏洞，華碩本周也釋出更新，修補CVE-2025-59373。它是本地提權（local privilege escalation）漏洞，位於MyASUS App 的Asus系統控制介面（System Control Interface）服務的復原（restore）機制。無權限攻擊者可將檔案複製到受保護的系統路徑，可能導致以SYSTEM權限執行任意檔案。本漏洞風險值為CVSS 8.5。

華碩已釋出ASUS System Control Interface 3.1.48.0 (x64)及 ASUS System Control Interface 4.2.48.0 (ARM)解決漏洞，適用所有個人電腦，包括桌機、筆電、AIO PC及迷你電腦（NUC）。