CRITICAL🇬🇧 English

CVE-2018-25115

D-Link DIR-series — nieuwierzytelniony command injection w service.cgi (root RCE)

CVSS 10.0v4.0pub. 2025-08-27upd. 2025-09-24

Wiele routerów z serii D-Link DIR zawiera podatność umożliwiającą zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami root. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia, a urządzenia są na etapie End-of-Life i nie otrzymają oficjalnych poprawek.

Pokaż oryginał (EN)

Multiple D-Link DIR-series routers, including DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645, and DIR-815 firmware version 1.03, contain a vulnerability in the service.cgi endpoint that allows remote attackers to execute arbitrary system commands without authentication. The flaw stems from improper input handling in the EVENT=CHECKFW parameter, which is passed directly to the system shell without sanitization. A crafted HTTP POST request can inject commands that are executed with root privileges, resulting in full device compromise. These router models are no longer supported at the time of assignment and affected version ranges may vary. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-08-21 UTC.

🤖 Analiza AI
Jak działa

Podatność znajduje się w endpointcie service.cgi, gdzie parametr EVENT=CHECKFW przekazywany w żądaniu HTTP POST jest bezpośrednio przekazywany do powłoki systemowej bez jakiejkolwiek sanityzacji danych wejściowych (CWE-78: OS Command Injection). Atakujący może spreparować żądanie HTTP POST zawierające złośliwe polecenia wstrzyknięte w wartość tego parametru. Wstrzyknięte polecenia są wykonywane natychmiast z uprawnieniami root, co prowadzi do pełnego przejęcia kontroli nad urządzeniem.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root — może wykonywać dowolne polecenia systemowe, modyfikować konfigurację, przechwytywać ruch sieciowy oraz wykorzystywać urządzenie jako punkt wejścia do sieci lokalnej. Skutkiem jest całkowite przejęcie urządzenia (full device compromise).

Mitygacja

Producent D-Link nie wyda poprawek dla tych urządzeń, ponieważ są one objęte polityką End-of-Life. Zaleca się natychmiastową wymianę podatnych urządzeń na aktualnie wspierane modele. Do czasu wymiany należy: odizolować urządzenia od internetu (zablokować dostęp do interfejsu zarządzania od strony WAN), zastosować dodatkowe reguły firewall ograniczające dostęp do endpointu service.cgi oraz monitorować ruch sieciowy pod kątem prób eksploatacji.

Kogo dotyczy

Routery D-Link DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645 oraz DIR-815 z firmware w wersji 1.03. Dokładny zakres dotkniętych wersji może się różnić w zależności od modelu — szczegóły w referencjach. Wszystkie wymienione modele są objęte polityką End-of-Life producenta.

Uwagi

Według opisu, dowody eksploatacji zostały po raz pierwszy zaobserwowane przez Shadowserver Foundation w dniu 2025-08-21 UTC. Publicznie dostępny kod PoC (proof-of-concept) jest dostępny w serwisie GitHub oraz Exploit-DB (exploit nr 43496). Pomimo odnotowanych dowodów eksploatacji, podatność nie figuruje w katalogu CISA KEV na moment publikacji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Dlink Dir 110

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 110 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 412

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 412 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 600

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 600 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 610

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 610 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 615

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 615 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 645

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 645 Firmware

    OS
    Dlink
    wszystkie wersje
  • Dlink Dir 815

    HW
    Dlink
    wszystkie wersje
  • Dlink Dir 815 Firmware

    OS
    Dlink
    1.03
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2019-16920CRITICAL9.8⚠ KEVten sam produkt

Unauthenticated remote code execution occurs in D-Link products such as DIR-655C, DIR-866L, DIR-652, and DHP-1...

CVE-2014-8361CRITICAL9.8⚠ KEVten sam produkt

The miniigd SOAP service in Realtek SDK allows remote attackers to execute arbitrary code via a crafted NewInt...

CVE-2013-10069CRITICAL10.0PL ✓ten sam produkt

D-Link DIR-300/DIR-600 — nieuwierzytelniony OS command injection w command.php

CVE-2013-10048CRITICAL9.3PL ✓ten sam produkt

D-Link DIR-300/DIR-600: nieuwierzytelniony command injection z uprawnieniami root

CVE-2024-22651CRITICAL9.8PL ✓ten sam produkt

Command injection w routerze D-Link DIR-815 — podatność krytyczna (CVSS 9.8)