威胁攻击者正在利用一个新近发现的命令注入漏洞,该漏洞影响多款已停止支持数年的D-Link DSL网关路由器。

该漏洞现被追踪为CVE-2026-0625,由于CGI库中的输入验证不当,影响了dnscfg.cgi端点。未经身份验证的攻击者可利用此漏洞通过DNS配置参数执行远程命令。

漏洞情报公司VulnCheck于12月15日向D-Link报告了此问题,此前The Shadowserver基金会在其一个蜜罐中观测到命令注入攻击尝试。

VulnCheck向BleepingComputer表示,Shadowserver捕获的攻击手法似乎未曾公开披露。

"未经身份验证的远程攻击者可以注入并执行任意shell命令,导致远程代码执行,"VulnCheck在安全公告中表示。

经与VulnCheck协作,D-Link确认以下设备型号和固件版本受CVE-2026-0625影响:

  • DSL-526B ≤ 2.01
  • DSL-2640B ≤ 1.07
  • DSL-2740R < 1.17
  • DSL-2780B ≤ 1.01.14

上述设备自2020年起已停止支持(EoL),将不会获得修复CVE-2026-0625的固件更新。因此,厂商强烈建议淘汰受影响设备并更换为受支持的型号。

D-Link目前仍在通过分析不同固件版本来确定是否有其他产品受影响。

"由于固件实现和产品代次的差异,D-Link和VulnCheck在精确识别所有受影响型号方面都面临复杂性,"D-Link解释道。

厂商表示:"当前分析表明,除了直接检查固件外,没有可靠的型号检测方法。为此,D-Link正在验证老旧平台和受支持平台的固件版本作为调查的一部分。"

目前尚不清楚是何方在利用此漏洞以及攻击目标为何。但VulnCheck指出,大多数消费级路由器设置仅允许局域网访问管理性通用网关接口(CGI)端点(如dnscfg.cgi)。

利用CVE-2026-0625漏洞可能意味着基于浏览器的攻击,或目标设备配置了远程管理功能。

使用已停止支持(EoL)路由器和网络设备的用户应将其更换为厂商积极支持的型号,或将其部署在非关键网络中(最好进行网络分段),并使用最新可用固件版本和限制性安全设置。

D-Link警告用户,EoL设备不会获得固件更新、安全补丁或任何维护。

标签: 远程代码执行, CVE-2026-0625, D-Link路由器漏洞, 命令注入, 老旧设备安全

添加新评论