文章总结： D-Link多款停保DSL路由器遭曝命令注入0day（CVE-2026-0625），攻击者利用dnscfg.cgi接口缺陷可未认证执行任意命令。鉴于产品已过保且无补丁，目前已在野外被利用，建议用户立即更换受影响设备，或关闭远程管理并隔离网络以缓解风险。 综合评分： 75 文章分类： 漏洞预警,IoT安全,WEB安全

【安全圈】D-Link 多款老旧 DSL 网关路由器被曝命令注入 0day，已遭野外利用

安全圈

2026年1月7日 19:00 江苏

关键词

出口管制

安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。

时间线

• 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。
• 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。

已确认受影响型号（均 2020 年起 EoL，不再提供补丁）

• DSL-526B ≤ 2.01
• DSL-2640B ≤ 1.07
• DSL-2740R < 1.17
• DSL-2780B ≤ 1.01.14

D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。

利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需：

1. 受害者浏览器访问恶意网页（CSRF/JS 攻击）；
2. 设备被手动开启远程管理并暴露于公网。

缓解措施

• 立即停用并更换仍在运行的上述 EoL 设备；
• 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段；
• 保持固件为官方最后可用版本，启用最强安全策略。 D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。

END

阅读推荐

【安全圈】百度网盘出 Bug 开屏页显示小说内容，百度回应不是安全问题是苹果商店更新提醒功能显示错

【安全圈】俄罗斯关联黑客滥用 Viber 攻击乌克兰军方和政府机构

【安全圈】WhatsApp 漏洞泄露用户元数据，包含设备操作系统信息

【安全圈】威胁行为者声称泄露 NordVPN Salesforce 数据库及源代码

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】D-Link 多款老旧 DSL 网关路由器被曝命令注入 0day，已遭野外利用》