文章总结： 黑客正积极利用旧款D-LinkDSL路由器中的严重远程代码执行漏洞，该漏洞源于dnscfg.cgi端点的命令注入，允许未经认证的远程攻击者执行任意命令。受影响设备已过时且停止支持，目前D-Link正调查具体受影响型号。建议用户立即更换此类路由器以规避安全风险。 综合评分： 80 文章分类： 漏洞预警,威胁情报,IoT安全

国内用户需警惕黑客正积极利用老款D-Link DSL路由器中的关键远程代码执行漏洞

原创

ZM

暗镜

2026年1月8日 09:00 北京

攻击者正在积极利用旧款 D-Link DSL 路由器中的一个严重远程代码执行 (RCE) 漏洞，该漏洞编号为（CVSS 评分为 9.3）。该漏洞是由于操作系统命令中使用的特殊元素未被正确处理（“操作系统命令注入”）造成的，其原因是 dnscfg.cgi 端点的输入过滤不当，导致命令注入。

“由于用户提供的 DNS 配置参数未经过适当的清理，多款 D-Link DSL 网关设备的 dnscfg.cgi 端点存在命令注入漏洞。未经身份验证的远程攻击者可以注入并执行任意 shell 命令，从而导致远程代码执行。”报告还指出：“受影响的端点还与 D-Link 记录的未经身份验证的 DNS 修改（“DNSChanger”）行为有关。D-Link 报告称，针对 2016 年至 2019 年发布的 DSL-2740R、DSL-2640B、DSL-2780B 和 DSL-526B 型号固件版本的活跃攻击活动正在进行中。”

Shadowserver 研究人员于 2025 年 11 月 27 日检测到活跃的漏洞利用。专家指出，受影响的设备早在 2020 年就已达到使用寿命终止状态。

在 VulnCheck 于 2025 年 12 月 16 日发布报告称存在活跃的漏洞利用后，D-Link 启动了内部调查，并正在审查受影响的型号，更新后的列表即将发布。

D-Link 在其安全公告中表示：“2025 年 12 月 16 日，VulnCheck（）报告称，部分 D-Link 设备中发现了一个被篡改的 CGI 库，该库正被积极利用。D-Link 立即启动了内部调查，并正在追踪所有相关产品中该 CGI 库的历史和当前使用情况。固件实现和产品代际的差异，D-Link 和 VulnCheck 都面临着准确识别所有受影响型号的挑战。D-Link 将继续进行详细的固件级审查，以确定受影响的设备。本周晚些时候将发布一份更新后的具体型号列表，以及在适用情况下，正在审查的固件版本。”

VulnCheck 在观察到实际环境中存在利用该漏洞的活动后报告了此问题。目前的分析表明，除了直接检查固件之外，没有其他可靠的型号检测方法。因此，作为调查的一部分，D-Link 正在验证旧平台和受支持平台上的固件版本。

以下是：

攻击者和针对这些易受攻击设备的黑客活动的规模仍然未知，但由于该漏洞会影响过时的 DSL 路由器，用户应该更换这些路由器，并升级到有安全更新的支持设备。

消息来源  securityaffairs

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《国内用户需警惕黑客正积极利用老款D-Link DSL路由器中的关键远程代码执行漏洞》