Résumé
Le 17 décembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans ASUS Live Update, un utilitaire de mise à jour des logiciels et firmwares des produits ASUS.
Référencée sous CVE-2025-59374, cette faille résulte d’une compromission de la chaîne d’approvisionnement : des versions modifiées de l’outil contiennent du code malveillant intégré. Ces versions peuvent entraîner des actions non autorisées sur les appareils répondant à des critères spécifiques, compromettant leur sécurité.
Solutions
Appliquez les mesures de mitigation fournies par ASUS. Si aucune solution n’est disponible (notamment pour les produits en fin de vie EoL/EoS), cessez l’utilisation du produit.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 9.3
EPSS : 0.04%
Risques : Exécution de code arbitraire
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Versions antérieures à la version 3.6.6
Documentation
- Référence
https://www.asus.com/support/faq/1018727/
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-59374
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-59374/
- CWE :
https://www.cvedetails.com/cwe-details/506/Embedded-Malicious-Code.html