Una falla de seguridad crítica recientemente descubierta en los enrutadores de puerta de enlace D-Link DSL heredados ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-0625 (Puntuación CVSS: 9,3), se refiere a un caso de inyección de comando en el punto final «dnscfg.cgi» que surge como resultado de una desinfección inadecuada de los parámetros de configuración DNS proporcionados por el usuario.
«Un atacante remoto no autenticado puede inyectar y ejecutar comandos de shell arbitrarios, lo que resulta en la ejecución remota de código», señaló VulnCheck en un aviso.
«El punto final afectado también está asociado con el comportamiento de modificación de DNS no autenticado («DNSChanger») documentado por D-Link, que informó campañas de explotación activas dirigidas a variantes de firmware de los modelos DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B de 2016 a 2019″.
La compañía de ciberseguridad también señaló que los intentos de explotación dirigidos a CVE-2026-0625 fueron registrados por la Fundación Shadowserver el 27 de noviembre de 2025. Algunos de los dispositivos afectados alcanzaron el estado de fin de vida útil (EoL) a principios de 2020.
- DSL-2640B
- DSL-2740R
- DSL-2780B
- DSL-526B
En su propia alerta, D-Link inició una investigación interna luego de un informe de VulnCheck del 16 de diciembre de 2025 sobre la explotación activa de «dnscfg.cgi» y que está trabajando para identificar el uso histórico y actual de la biblioteca CGI en todas sus ofertas de productos.
También citó complejidades para determinar con precisión los modelos afectados debido a variaciones en las implementaciones de firmware y generaciones de productos. Se espera que se publique una lista actualizada de modelos específicos a finales de esta semana una vez que se complete una revisión a nivel de firmware.
«El análisis actual no muestra ningún método confiable de detección del número de modelo más allá de la inspección directa del firmware», dijo D-Link. «Por esta razón, D-Link está validando versiones de firmware en plataformas heredadas y compatibles como parte de la investigación».
En esta etapa, se desconoce la identidad de los actores de amenazas que explotan la falla y la escala de dichos esfuerzos. Dado que la vulnerabilidad afecta a los productos de puerta de enlace DSL que se han eliminado gradualmente, es importante que los propietarios de dispositivos los retiren y actualicen a dispositivos con soporte activo que reciban actualizaciones periódicas de firmware y seguridad.
«CVE-2026-0625 expone el mismo mecanismo de configuración de DNS aprovechado en pasadas campañas de secuestro de DNS a gran escala», dijo Field Effect. «La vulnerabilidad permite la ejecución remota de código no autenticado a través del punto final dnscfg.cgi, dando a los atacantes control directo sobre la configuración de DNS sin credenciales ni interacción del usuario».
«Una vez alteradas, las entradas DNS pueden redirigir, interceptar o bloquear silenciosamente el tráfico descendente, lo que resulta en un compromiso persistente que afecta a todos los dispositivos detrás del enrutador. Debido a que los modelos D-Link DSL afectados están al final de su vida útil y no se pueden parchear, las organizaciones que continúan operándolos enfrentan un riesgo operativo elevado».