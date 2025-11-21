D-Linkは年11月17日(現地時間)、「D-Link Technical Support」において、同社製ルータから複数の脆弱性が発見されたと発表した。これら脆弱性を悪用されると、認証されていないユーザーに遠隔から任意のコマンドを実行される可能性がある。

D-Link Technical Support

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

なお、CVE-2025-60676については共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)の公開情報と、D-Linkの発表で齟齬がある。前述の情報はCVEの公開情報に基づくが、D-Linkは設定ファイルの不十分な入力検証の脆弱性と説明している。

この問題について調査したところ、D-Linkの発表と同一内容の脆弱性「CVE-2025-60675」が発見された。これは別製品の脆弱性であり、D-Linkは誤って異なる情報を公開したとみられる。

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

DIR-878のすべてのシリーズモデル、すべてのハードウェアリビジョン

影響を受けるファームウェアバージョンは「FW101B04」とされ、これ以降のバージョンについては要検証とされている。しかしながら、FW101B04以降に公開されたファームウェアのリリースノートを調査した限りでは、前述の脆弱性の修正は確認できていない。

影響と対策

対象の脆弱性の深刻度はいずれも警告(Warning)にとどまると評価されている。リモートコード実行(RCE: Remote Code Execution)可能だが、デバイスへの直接的な侵害は限定的との評価だ。しかしながら、マルウェアの展開、ネットワークの横移動などのリスクがあることに変わりはない。

これら脆弱性はすべて概念実証(PoC: Proof of Concept)コードが公開されている。誰でも簡単に悪用可能な状況となっており、速やかに対策を講じる必要がある。

しかしながら、当該製品はサポート終了(EOL: End of Life)およびサービス終了(EOS: End of Service)に達し、今後脆弱性が修正される見込みはない。D-Linkは速やかな運用の中止ならびに現行製品への移行を推奨している。