- شناسه CVE-2025-2492 :CVE
- CWE-288 :CWE
- yes :Advisory
- منتشر شده: آوریل 18, 2025
- به روز شده: آوریل 18, 2025
- امتیاز: 9.2
- نوع حمله: Authentication Bypass
- اثر گذاری: unauthorized execution of functions
- حوزه: تجهیزات شبکه و امنیت
- برند: Asus
- محصول: Routers
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری بحرانی در روترهای ایسوس (که در جدول موارد آسیبپذیر به آنها اشارهشده است) شناساییشده است. این آسیبپذیری مربوط به بخشی از کامپوننتی به نام AiCloud است و باعث دور زدن احراز هویت (authentication bypass) میشود. حمله میتواند از راه دور انجام شود.
توضیحات
این نقص امنیتی که با شناسه CVE-2025-2492 ثبتشده، باعث میشود که مهاجم بدون نیاز به ورود یا احراز هویت، بتواند به بخشهایی از روتر دسترسی پیدا کند یا دستورات خاصی را اجرا کند.
این آسیبپذیری از نوع CWE-288 است؛ یعنی محصولی که باید احراز هویت انجام دهد، درواقع یک مسیر یا راهحل جایگزین دارد که نیازی به احراز هویت پیدا نمیکند. تأثیر این آسیبپذیری میتواند شامل افشای اطلاعات، تخریب دادهها و یا قطع سرویس باشد.
اکسپلویت این آسیبپذیری آسان گزارششده و مهاجم میتواند بدون هیچگونه احراز هویت حمله را آغاز کند.
CVSS
| Score | Severity | Version | Vector String |
| 9.2 | CRITICAL | 4.0 | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N |
لیست محصولات آسیبپذیر
| Versions | Product |
| affected at 3.0.0.4_382 series | Router |
| affected at 3.0.0.4_386 series | Router |
| affected at 3.0.0.4_388 series | Router |
| affected at 3.0.0.6_102 series | Router |
نتیجهگیری
تاکنون راهحلی برای برطرف کردن این مشکل از سوی ایسوس ارائه نشده است. پیشنهاد میشود که در صورت امکان، از محصولات جایگزین استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-2492
- https://www.cvedetails.com/cve/CVE-2025-2492/
- https://www.asus.com/content/asus-product-security-advisory/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-2492
- https://vuldb.com/?id.305639
- https://nvd.nist.gov/vuln/detail/CVE-2025-2492
- https://cwe.mitre.org/data/definitions/288.html
