The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_384_46630 allows authentication bypass when processing remote input from an unauthenticated user, leading to unauthorized access to the administrator interface. This relates to handle_request in router/httpd/httpd.c and auth_check in web_hook.o. An attacker-supplied value of '\0' matches the device's default value of '\0' in some situations. Note: All versions of Lyra Mini and earlier which are unsupported (End-of-Life, EOL) are also affected by this vulnerability, Consumers can mitigate this vulnerability by disabling the remote access features from WAN.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAsus Gt Ac2900
HWAsuswszystkie wersjeAsus Gt Ac2900 Firmware
OSAsus< 3.0.0.4.386.42643Asus Lyra Mini
HWAsuswszystkie wersjeAsus Lyra Mini Firmware
OSAsus< 3.0.0.4.384.46630
CISA KEV — szczegółyi
- Dostawcai
- ASUS
- Produkti
- Routers
- Data dodania do KEVi
- 2 czerwca 2025
- Termin remediation (USA)i
- 23 czerwca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Urządzenia ASUS Lyra Mini i ASUS GT-AC2900 zawierają lukę uwierzytelniania, która umożliwia atakującemu uzyskanie nieautoryzowanego dostępu do interfejsu administracyjnego. Dotknięte produkty mogą być end-of-life (EoL) i/lub end-of-service (EoS). Użytkownicy powinni zaprzestać używania produktów.
▸ Pokaż oryginał (EN)
ASUS Lyra Mini and ASUS GT-AC2900 devices contain an improper authentication vulnerability that allows an attacker to gain unauthorized access to the administrative interface. The impacted products could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
Powiązane podatności
An issue was discovered in ASUSWRT 3.0.0.4.384.20308. When processing the /start_apply.htm POST data, there is...
An issue was discovered in ASUSWRT 3.0.0.4.384.20308. An unauthenticated user can request /update_applist.asp ...
An issue was discovered in ASUSWRT 3.0.0.4.384.20308. An unauthenticated user can trigger a DoS of the httpd s...
ASUS Live Update — kompromitacja łańcucha dostaw (supply chain compromise)
Authentication bypass w routerach ASUS z serii DSL — nieautoryzowany dostęp zdalny