CVE-2025-59374

CVSS 9.3 CRITICALEPSS 1.1%● KEVCWE-506

En resumen

Versiones del cliente ASUS Live Update fueron alteradas durante la fabricación, permitiendo que atacantes hicieran que dispositivos afectados realizaran acciones no deseadas si se cumplían condiciones específicas. Solo dispositivos antiguos sin soporte que instalaron estas versiones comprometidas corren riesgo.

Detalle técnico

Compromiso de la cadena de suministro del cliente ASUS Live Update donde se inyectaron modificaciones no autorizadas en las compilaciones distribuidas. El ataque requiere que el dispositivo cumpla condiciones de segmentación específicas e haya instalado la versión comprometida; el impacto incluye acciones arbitrarias no deseadas en el dispositivo. El producto llegó a fin de soporte en octubre de 2021; ninguna versión o dispositivo actualmente soportado se ve afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.

"UNSUPPORTED WHEN ASSIGNED" Certain versions of the ASUS Live Update client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. Only devices that met these conditions and installed the compromised versions were affected. The Live Update client has already reached End-of-Support (EOS) in October 2021, and no currently supported devices or products are affected by this issue.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

ASUS · live update

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.asus.com/news/hqfgvuyz6uyayje1/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-59374