代号为pjqwudi的资安研究人员在今年6月初提交了6个有关D-Link DIR-816路由器的安全漏洞,相关漏洞将允许骇客自远端完全控制路由器,或者部署持久性的后门程式,而D-Link则在上周提醒,该款路由器已于2023年11月便退役,也不再提供技术支援或韧体更新,强烈建议用户停用该产品。
上个月披露的6个D-Link DIR-816漏洞分别是CVE-2025-5622、CVE-2025-5623、CVE-2025-5624、CVE-2025-5630、CVE-2025-5620及CVE-2025-5621,除了CVE-2025-5620与CVE-2025-5621被列为高风险(High)漏洞,属于命令注入漏洞之外;另外4个皆为缓冲区溢位漏洞,允许骇客自远端执行任意程式、瘫痪设备、植入恶意韧体或是变更设定,其CVSS风险评分超过9,被列为重大(Critical)漏洞。
资安研究人员警告,上述漏洞将让骇客可完全掌控路由器,拦截与操纵网路流量,部署恶意软体或后门程式。
不过,D-Link DIR-816早在2023年便已停产,其所有硬体与韧体版本的生命周期皆已终止。D-Link因此强烈建议用户停用该产品,否则可能对连接该装置的其他设备带来资安风险。现有用户应尽速迁移至仍有韧体更新与客户支援的产品,并执行完整的资料备份。
若用户仍选择继续使用D-Link DIR-816,则应确保装置已更新至最新韧体、经常更换登入网页设定介面的密码,并启用Wi-Fi加密功能,且使用独一无二的密码。