ASUSTeK Computerは11月25日(現地時間)、「ASUS Security Advisory|Latest Vulnerability Update」において、同社製ルータから複数の脆弱性が発見されたと発表した。

これら脆弱性を悪用されると、認証されていないリモートの攻撃者に特定の機能を実行される可能性がある。

  • ASUS Security Advisory|Latest Vulnerability Update

    ASUS Security Advisory|Latest Vulnerability Update

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-59365 - スタックバッファーオーバーフローの脆弱性。認証されたユーザーが遠隔から細工したリクエストを送信することで脆弱性を悪用できる可能性がある(CVSSv4スコア: 6.9)
  • CVE-2025-59366 - AiCloudに認証バイパスの脆弱性。認証されていないユーザーが遠隔から特定の機能を実行できる可能性がある(CVSSv4スコア: 9.2)
  • CVE-2025-59368 - AiCloudに整数アンダーフローの脆弱性。認証されたユーザーが遠隔から細工したリクエストを送信することで脆弱性を悪用できる可能性がある(CVSSv4スコア: 6.0)
  • CVE-2025-59369 - SQLインジェクションの脆弱性。認証されたユーザーが遠隔から任意のSQLクエリーを実行できる可能性がある(CVSSv4スコア: 5.9)
  • CVE-2025-59370 - コマンドインジェクションの脆弱性。認証されたユーザーが遠隔から任意のコマンドを実行できる可能性がある(CVSSv4スコア: 7.5)
  • CVE-2025-59371 - 認証バイパスの脆弱性。認証されたユーザーが遠隔からデバイスへの不正アクセスに成功する可能性がある(CVSSv4スコア: 7.5)
  • CVE-2025-59372 - パストラバーサルの脆弱性。認証されたユーザーが遠隔から任意のファイルに書き込める可能性がある(CVSSv4スコア: 6.9)
  • CVE-2025-12003 - WebDAVにパストラバーサルの脆弱性。認証されていないユーザーが遠隔からデバイスの完全性に影響を与える可能性がある(CVSSv4スコア: 8.2)

対策

ASUSTeK Computerは、脆弱性の影響を受けるデバイスの一覧を公開していない。代わりに、影響を受けるファームウェアシリーズを公開し、同一シリーズを利用しているユーザーに対処を求めている。影響を受けるファームウェアシリーズは次のとおり。

  • 3.0.0.4_386シリーズ
  • 3.0.0.4_388シリーズ
  • 3.0.0.6_102シリーズ

ASUSTeK Computerのルータを運用している管理者は、デバイスのファームウェアシリーズが上記に一致しているか確認し、一致している場合は最新バージョン(10月以降のリリースバージョン)にアップデートすることが強く推奨されている。

サポート終了(EOL: End of Life)に達した製品の利用者および修正ファームウェアの提供がない製品の利用者には、デバイスに存在するすべてのパスワードを一意かつ強力なパスワードに変更し、インターネットからアクセス可能なサービスをすべて無効にすることが推奨されている。