Múltiples vulnerabilidades críticas en los modelos de enrutador D-Link podrían permitir a los atacantes remotos ejecutar código arbitrario y obtener acceso no autorizado a la infraestructura de la red.
Resumen 1. Seis vulnerabilidades críticas en los enrutadores D-Link DIR-816 permiten la ejecución de código remoto (CVSS 9.8) 2. Desbordamiento del búfer y los ataques de inyección de comandos permiten la adquisición completa del enrutador a través de la interfaz web. 3. No hay parches de seguridad disponibles: todos los modelos DIR-816 son al final de la vida de vulnerabilidades permanentes.
Las vulnerabilidades afectan todas las revisiones de hardware y las versiones de firmware de los modelos DIR-816 no estadounidenses, que ahora han alcanzado su estado de fin de vida (EOL).
Los defectos de desbordamiento del búfer habilitan la ejecución del código remoto
Cuatro de las seis vulnerabilidades se clasifican como ataques de desbordamiento de búfer de pila crítica con puntajes CVSS de 9.8, lo que representa el nivel de gravedad más alto.
Estos defectos incluyen CVE-2025-5622 que afecta la función wirelessapcli_5g en /goform /wirelessapcli_5g, donde la manipulación de los parámetros apcli_mode_5g, apcli_enc_5g y apcli_default_key_5g conducen a la corrupción de la memoria.
CVE-2025-5623 y CVE-2025-5624 se dirigen a la función QOSClassifier en /goForm /Qosclassifier, explotando los argumentos DIP_Address y SIP_ADDRESS para activar los desbordamientos de búfer basados en Stack.
Una vulnerabilidad crítica, CVE-2025-5630, afecta el archivo /goform/Form2Lansetup.cgi mediante la manipulación del parámetro IP.
Estas vulnerabilidades se encuentran en las categorías de CWE-121 (desbordamiento del búfer basado en pila) y CWE-119 (corrupción de memoria), lo que permite a los atacantes sobrescribir segmentos de memoria y potencialmente ejecutar código malicioso con privilegios administrativos.
Vulnerabilidades de inyección de comandos
Dos vulnerabilidades adicionales de alta severidad implican ataques de inyección de comando OS. CVE-2025-5620 se dirige a la función setipsec_config en /goform /setipsec_config, donde los atacantes pueden manipular los parámetros LocalIP y RemoteIP para inyectar comandos de sistema arbitrarios.
Del mismo modo, CVE-2025-5621 explota la misma función Qosclassifier a través de los parámetros DIP_Address y SIP_Address.
Estas fallas de inyección de comandos, categorizadas en CWE-78 (inyección de comandos OS) y CWE-77 (inyección de comandos), transportan puntajes CVSS de 7.3 y permiten a los atacantes ejecutar comandos del sistema operativo no autorizados de forma remota.
CVESDESCONTRITYCVSS 3.1 Scorecve-2025-5622Stack Overflow9.8 (crítico) CVE-2025-5623Stack Overflow9.8 (crítico) CVE-2025-5624 Buffer Overflow9.8 (crítico) CVE-2025-5630 Stack Buffer Overflow 9.8.8.8.8.8.8.8.8 (Crítico) Inyección de comando CVE-2025-5620OS 7.3 (Alto) CVE-2025-5621OS Inyección de comando 7.3 (alto)
Retiro inmediato recomendado
Las vulnerabilidades fueron divulgadas inicialmente por el investigador de seguridad PJQWudi a través de la divulgación de Vuldb, destacando la naturaleza crítica de estos defectos de seguridad de infraestructura de red.
D-Link tiene oficialmente designado Todos los modelos DIR-816 como fin de servicio (EOS), lo que significa que no se lanzarán actualizaciones de firmware o parches de seguridad.
La compañía recomienda encarecidamente la jubilación inmediata de estos dispositivos, advirtiendo que el uso continuo plantea riesgos de seguridad significativos para las redes conectadas.
Se aconseja a los usuarios que hagan la transición a los productos de generación actual con desarrollo activo de firmware, realicen copias de seguridad de datos integrales y se comuniquen con las oficinas regionales de D-Link para obtener recomendaciones de reemplazo.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
