Cibercriminosos estão explorando uma falha de injeção de comandos que afeta vários roteadores D-Link DSL que já não recebem suporte. Catalogada como CVE-2026-0625, a vulnerabilidade envolve o endpoint dnscfg.cgi e decorre da má sanitização em uma biblioteca CGI, o que permite a execução remota de código por meio de parâmetros de configuração DNS.
A empresa de segurança VulnCheck comunicou o problema à D-Link em 15 de dezembro, depois que a Fundação Shadowserver detectou uma tentativa de exploração em atividade. Os modelos e versões de firmware identificados como vulneráveis são: DSL-526B ≤ 2.01, DSL-2640B ≤ 1.07, DSL-2740R < 1.17 e DSL-2780B ≤ 1.01.14.
Esses aparelhos chegaram ao estado end-of-life (EoL) em 2020 e, por isso, não devem receber atualizações de firmware que corrijam a falha. A D-Link orienta os usuários que ainda utilizam esses roteadores a aposentá-los e substituí-los por modelos mais recentes, já que dispositivos EoL não recebem patches de segurança nem manutenção.
A investigação sobre possíveis impactos em outros produtos continua. Segundo os responsáveis pelo estudo, há muitas variações na implementação de firmwares e diversas gerações de equipamentos, o que exige análise adicional para verificar se outros modelos também podem ser afetados.
Ainda não há informações sobre quais grupos de criminosos ou quais alvos específicos estão explorando a vulnerabilidade. A VulnCheck afirma que, na maioria das configurações, o acesso administrativo via CGI está restrito à rede local (LAN) em endpoints como o dnscfg.cgi. Para a exploração, geralmente é necessário um ataque baseado em navegador ou mirar em um dispositivo que tenha a administração remota habilitada.
Em comunicado, a D-Link reforça que a ausência de atualizações para equipamentos EoL é um procedimento padrão quando um produto é aposentado, motivo pelo qual a substituição dos aparelhos antigos é recomendada para mitigar riscos de segurança.
