D-Link 多款老旧 DSL 网关路由器被曝命令注入 0day，已遭野外利用

安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。

时间线

• 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。
• 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。

已确认受影响型号（均 2020 年起 EoL，不再提供补丁）

• DSL-526B ≤ 2.01
• DSL-2640B ≤ 1.07
• DSL-2740R < 1.17
• DSL-2780B ≤ 1.01.14

D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。

利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需：

1. 受害者浏览器访问恶意网页（CSRF/JS 攻击）；
2. 设备被手动开启远程管理并暴露于公网。

缓解措施

• 立即停用并更换仍在运行的上述 EoL 设备；
• 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段；
• 保持固件为官方最后可用版本，启用最强安全策略。
  D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；