D-Linkは年11月17日(現地時間)、「D-Link Technical Support」において、同社製ルータから複数の脆弱性が発見されたと発表した。これら脆弱性を悪用されると、認証されていないユーザーに遠隔から任意のコマンドを実行される可能性がある。

  • D-Link Technical Support

    D-Link Technical Support

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-60672CVE-2025-60673CVE-2025-60676 - コマンドインジェクションの脆弱性。認証されていないユーザーが細工したHTTPリクエストを送信することで任意のコマンドを実行できる可能性がある(CVSSスコア: 6.5)
  • CVE-2025-60674 - USBストレージ処理にスタックバッファオーバーフローの脆弱性。USBデバイスへの物理アクセスまたは制御権を持つ攻撃者は、任意のコードを実行できる可能性がある(CVSSスコア: 6.8)

なお、CVE-2025-60676については共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)の公開情報と、D-Linkの発表で齟齬がある。前述の情報はCVEの公開情報に基づくが、D-Linkは設定ファイルの不十分な入力検証の脆弱性と説明している。

この問題について調査したところ、D-Linkの発表と同一内容の脆弱性「CVE-2025-60675」が発見された。これは別製品の脆弱性であり、D-Linkは誤って異なる情報を公開したとみられる。

  • D-Linkの発表。内容をCVE-2025-60675と取り違えている

    D-Linkの発表。内容をCVE-2025-60675と取り違えている

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • DIR-878のすべてのシリーズモデル、すべてのハードウェアリビジョン

影響を受けるファームウェアバージョンは「FW101B04」とされ、これ以降のバージョンについては要検証とされている。しかしながら、FW101B04以降に公開されたファームウェアのリリースノートを調査した限りでは、前述の脆弱性の修正は確認できていない。

影響と対策

対象の脆弱性の深刻度はいずれも警告(Warning)にとどまると評価されている。リモートコード実行(RCE: Remote Code Execution)可能だが、デバイスへの直接的な侵害は限定的との評価だ。しかしながら、マルウェアの展開、ネットワークの横移動などのリスクがあることに変わりはない。

これら脆弱性はすべて概念実証(PoC: Proof of Concept)コードが公開されている。誰でも簡単に悪用可能な状況となっており、速やかに対策を講じる必要がある。

しかしながら、当該製品はサポート終了(EOL: End of Life)およびサービス終了(EOS: End of Service)に達し、今後脆弱性が修正される見込みはない。D-Linkは速やかな運用の中止ならびに現行製品への移行を推奨している。