華碩發布了新的固件，修復了九個安全漏洞，其中包括啟用 AiCloud 的路由器中存在的嚴重身份驗證繞過漏洞。正如這華碩所解釋的那樣，CVE-2025-59366漏洞「可能由 Samba 功能的意外副作用觸發，可能導致在未經適當授權的情況下執行特定功能」。

沒有權限的遠端攻擊者可以透過連結路徑遍歷和作業系統命令注入弱點來利用此漏洞，從而發動無需使用者互動的低複雜度攻擊。ASUS在周一發布的公告中表示，為了保護您的設備，華碩強烈建議所有用戶立即將路由器韌體更新到最新版本。
雖然華碩沒有具體說明哪些路由器型號受到影響，只提到了哪些韌體版本可以解決該漏洞，但它為那些使用已停產型號且無法獲得韌體更新的用戶提供了緩解措施。

AiCloud是華碩路由器的雲端遠端存取功能，能將路由器轉變為私人雲端伺服器，提供遠端媒體串流和雲端儲存服務。此次修復的韌體版本涵蓋3.0.0.4_386系列、3.0.0.4_388系列和3.0.0.6_102系列等。對於無法獲得最新韌體更新的已停產路由器型號，華碩提供了一系列關鍵的緩解措施：建議用戶應立即禁用所有可從廣域網路（WAN）存取的服務，包括遠端存取、連接埠轉發、DDNS、VPN伺服器、DMZ和FTP。此舉能有效減少攻擊面，並阻止針對CVE-2025-59366漏洞的潛在攻擊，同時建議為路由器管理頁面和無線網路設置強度更高的密碼，確保路由器和網路的安全。

資料來源：https://www.bleepingcomputer.com/news/security/asus-warns-of-new-critical-auth-bypass-flaw-in-aicloud-routers/