Una falla de seguridad crítica recientemente descubierta en los enrutadores de puerta de enlace DSL D-Link antiguos ha sido explotada activamente en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-0625 (puntuación CVSS: 9.3), se refiere a un caso de inyección de comandos en el punto final "dnscfg.cgi" que se produce como resultado de una desinfección inadecuada de los parámetros de configuración de DNS proporcionados por el usuario.

«Un atacante remoto no autenticado puede inyectar y ejecutar comandos de shell arbitrarios, lo que resulta en la ejecución remota de código», vulnCheck apuntado en un aviso.

«El punto final afectado también está asociado con un comportamiento de modificación de DNS no autenticado ('DNSchanger') documentado por D-Link , que informó de campañas de explotación activas dirigidas a las variantes de firmware de los modelos DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B entre 2016 y 2019».

La empresa de ciberseguridad también señaló que la Fundación Shadowserver registró intentos de explotación contra el CVE-2026-0625 el 27 de noviembre de 2025. Algunos de los dispositivos afectados alcanzaron el final de su vida útil (EoL) a principios de 2020 -

  • DSL-2640B <= 1,07
  • DSL-2740R < 1,17
  • DSL-2780B <= 1,01,14
  • DSL-526B <= 2,01

En una alerta propia, D-Link dijo que había iniciado una investigación interna tras un informe de VulnCheck del 16 de diciembre de 2025 sobre la explotación activa de "dnscfg.cgi», y que estaba trabajando para identificar el uso histórico y actual de la biblioteca CGI en todas sus ofertas de productos.

También mencionó la complejidad de determinar con precisión los modelos afectados debido a las variaciones en las implementaciones de firmware y las generaciones de productos. Se espera publicar una lista actualizada de modelos específicos a finales de esta semana, una vez que se complete la revisión a nivel del firmware.

«Los análisis actuales muestran que no hay un método fiable de detección del número de modelo más allá de la inspección directa del firmware», dijo D-Link dijo . «Por este motivo, D-Link está validando las compilaciones de firmware en plataformas antiguas y compatibles como parte de la investigación».

En este momento, se desconoce la identidad de los actores de la amenaza que explotan la falla y la magnitud de dichos esfuerzos. Dado que la vulnerabilidad afecta a los productos de puerta de enlace DSL que se han ido retirando gradualmente, es importante que los propietarios de los dispositivos los retiren y los actualicen a dispositivos con soporte activo que reciban actualizaciones periódicas de firmware y seguridad.

«El CVE-2026-0625 expone el mismo mecanismo de configuración de DNS utilizado en campañas anteriores de secuestro de DNS a gran escala», Field Effect dijo . «La vulnerabilidad permite la ejecución remota de código sin autenticar a través del punto final dnscfg.cgi, lo que permite a los atacantes controlar directamente la configuración del DNS sin necesidad de credenciales ni interacción con el usuario».

«Una vez alteradas, las entradas de DNS pueden redirigir, interceptar o bloquear silenciosamente el tráfico descendente, lo que resulta en un compromiso persistente que afecta a todos los dispositivos que se encuentran detrás del router. Dado que los modelos DSL de D-Link afectados han llegado al final de su vida útil y no se pueden aplicar parches, las organizaciones que siguen utilizándolos se enfrentan a un riesgo operativo elevado».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.