文章总结： 华硕商用电脑管理套件曝出高危漏洞CVE-2025-13348，CVSS评分8.5。漏洞源于文件粉碎机驱动权限缺陷，允许本地攻击者创建任意文件从而破坏系统。华硕选择在V3.0.37.0版本彻底移除该功能以消除风险，仅影响商用机型。建议管理员立即更新至最新版本并寻找替代的数据清理方案。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,终端安全

华硕取消“文件粉碎机”功能以修复严重缺陷

sec随谈 sec随谈

sec随谈

2026年2月3日 14:09 北京

华硕为其商用电脑产品线发布了一项强制性更新，该更新并非修补漏洞，而是彻底移除了一项核心安全功能。此次警报涉及华硕商务管理套件中的一个高危漏洞，具体目标是用于永久删除敏感数据的工具。

该漏洞编号为 CVE-2025-13348，CVSS 评分为 8.5，表明其对系统完整性构成重大风险。该漏洞存在于“安全删除”驱动程序中，该驱动程序旨在彻底清除文件，使其无法恢复。讽刺的是，这个安全工具本身却成了安全漏洞。

问题源于软件处理权限的方式。根据公告，“华硕商务管理软件的华硕安全删除驱动程序存在访问控制漏洞”。

通过利用此漏洞，本地攻击者可以诱骗驱动程序执行其指令。该安全公告解释说，“本地用户发送精心构造的请求即可触发此漏洞，从而可能导致在指定路径中创建任意文件”。

这种任意文件创建能力在攻击者手中是一种强大的武器。它可以用来覆盖关键的系统配置文件，在启动文件夹中植入恶意脚本，或绕过机器上的其他安全限制。

面对风险，华硕选择了最彻底的方案。他们没有尝试修补驱动程序的逻辑，而是决定通过移除相关功能来彻底消除风险。

“为了解决这一安全风险，华硕已在最新版本中弃用并完全移除了‘文件粉碎机’功能，”该公司声明道。

这意味着更新后，管理员和用户会发现“文件粉碎机”按钮消失了。虽然这消除了漏洞，但也意味着依赖此工具进行数据清理的组织需要寻找第三方替代方案。

该公告明确指出，此问题仅针对企业环境。“此次更新仅适用于华硕商用电脑；消费级机型不受影响。”报告指出。

管理华硕工作站的管理员请立即将 ASUS Business Manager 更新至 V3.0.37.0 或更高版本。您可以通过 MyASUS Live Update 功能或从华硕支持网站手动下载进行更新。

参考链接：

https://www.asus.com/security-advisory/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《华硕取消“文件粉碎机”功能以修复严重缺陷》