Šest kritičnih ranjivosti u D-Link DIR-816 ruterima omogućavaju daljinsko izvršavanje proizvoljnog koda, s ocjenom kritičnosti 9.8 prema CVSS-u. Ove slabosti, uključujući prelivanje bafera i ubacivanje komandi, dopuštaju napadačima preuzimanje potpune kontrole nad ruterom putem web interfejsa. Nažalost, za sve modele DIR-816, koji su dostigli kraj životnog vijeka, nisu dostupne sigurnosne zakrpe, što ih trajno čini podložnim ovim napadima.
Ranjivosti pogađaju sve hardverske revizije i verzije firmvera za modele DIR-816 koji nisu namijenjeni američkom tržištu, a čija je podrška zvanično prestala.
Prelivanje bafera omogućava daljinsko izvršavanje koda.
Četiri od šest sigurnosnih propusta klasifikovane su kao kritične greške prelivanjem bafera na steku (stack-based buffer overflow), sa CVSS ocjenom 9.8, što predstavlja najviši nivo rizika. Ove ranjivosti obuhvataju:
CVE-2025-5622, koji utiče na funkciju wirelessApcli_5g u datoteci /goform/wirelessApcli_5g. Manipulacija parametrima apcli_mode_5g, apcli_enc_5g i apcli_default_key_5g može dovesti do oštećenja memorije.
CVE-2025-5623 i CVE-2025-5624, koji ciljaju funkciju qosClassifier u datoteci /goform/qosClassifier. Zloupotrebom argumenata dip_address i sip_address mogu se izazvati prelivanje bafera na steku.
Kritična ranjivost CVE-2025-5630 pogađa datoteku /goform/form2lansetup.cgi, a može biti iskorišćena manipulacijom parametra IP.
Ove slabosti, koje spadaju u kategorije CWE-121 (Prelivanje bafera na steku) i CWE-119 (Oštećenje memorije), omogućavaju napadačima da prebrišu memorijske segmente i potencijalno izvrše zlonamjerni kod s administratorskim ovlastima.
Ranjivosti ubacivanja komandi.
Dva dodatna propusta visokog rizika odnose se na ubacivanje sistemskih komandi (OS command injection). CVE-2025-5620 cilja funkciju setipsec_config u datoteci /goform/setipsec_config, gdje napadači mogu manipulirati parametrima localIP i remoteIP kako bi ubacili proizvoljne sistemske komande. Slično tome, CVE-2025-5621 koristi istu funkciju qosClassifier putem parametara dip_address i sip_address. Ove slabosti, klasifikovane kao CWE-78 (Ubacivanje OS komandi) i CWE-77 (Ubacivanje komandi), imaju CVSS ocjene 7.3 i omogućavaju daljinsko izvršavanje neautorizovanih komandi operativnog sistema.
| CVEs | Opis | CVSS 3.1 Ocjena |
|————-|————————————|—————–|
| CVE-2025-5622 | Prelivanje bafera na steku | 9.8 (Kritično) |
| CVE-2025-5623 | Prelivanje bafera na steku | 9.8 (Kritično) |
| CVE-2025-5624 | Prelivanje bafera na steku | 9.8 (Kritično) |
| CVE-2025-5630 | Prelivanje bafera na steku | 9.8 (Kritično) |
| CVE-2025-5620 | Ubacivanje OS komandi | 7.3 (Visoko) |
| CVE-2025-5621 | Ubacivanje OS komandi | 7.3 (Visoko) |
Preporučuje se hitno povlačenje uređaja iz upotrebe.
Ranjivosti su prvobitno objavljene od strane sigurnosnog istraživača pjqwudi putem VULdb Disclosure, naglašavajući kritičnu prirodu ovih propusta u sigurnosti mrežne infrastrukture. D-Link je zvanično proglasio sve modele DIR-816 “End-of-Service” (EOS), što znači da neće biti objavljena nikakva ažuriranja firmvera niti sigurnosne zakrpe. Kompanija snažno preporučuje hitno povlačenje ovih uređaja iz upotrebe, upozoravajući da nastavak korištenja predstavlja značajan sigurnosni rizik za povezane mreže. Korisnicima se savjetuje prelazak na proizvode trenutne generacije sa aktivnim razvojem firmvera, vršenje sveobuhvatnih rezervnih kopija podataka i kontaktiranje D-Link regionalnih ureda radi preporuka za zamjenu.
