Se han descubierto vulnerabilidades de severidad crítica y alta en routers ASUS. Un actor malicioso podría permitir la ejecución de código remoto, denegación de servicio, elevación de privilegios, filtrado de información sensible y evasión de restricciones de seguridad en los sistemas afectados.
Productos afectados
Routers ASUS con firmware:
- Series anteriores a 3.0.0.4_386
- Series anteriores a 3.0.0.4_388
- Series anteriores a 3.0.0.6_102
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-59366: con una puntuación de 9.2 en CVSS v4.0. Existe una vulnerabilidad de de omisión de autenticación en AiCloud. Esta podría permitir la ejecución remota de código sin privilegios y sin interacción del usuario. Un actor malicioso podría comprometer por completo el dispositivo afectado y la red asociada mediante envío de paquetes maliciosos.
CVE-2025-12003: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de cruce de rutas en WebDAV. Un actor malicioso no autenticado podría afectar la integridad del dispositivo.
CVE-2025-59370: con una puntuación de 7.5 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos en bwdpi. Un actor malicioso autenticado podría ejecutar código o comandos arbitrarios, lo que provocaría que el dispositivo ejecutara instrucciones no deseadas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-12003
- https://www.cve.org/CVERecord?id=CVE-2025-59366
- https://www.cve.org/CVERecord?id=CVE-2025-59370
- https://www.asus.com/security-advisory