CVE-2025-29635

D-Link DIR-823X

ВЫСОКИЙ РИСК
Вероятность (EPSS) 58.1%
Тяжесть (CVSS) CVSS 7.2
Дата обнаружения

2026-04-24

Профиль угрозы (Вектор)
Доступ
Сеть
Сложность
Низкая
Привилегии
Админ
Жертва
Бездействует
Строка: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Официальное описание

D-Link DIR-823X contains a command injection vulnerability that allows an authorized attacker to execute arbitrary commands on remote devices by sending a POST request to /goform/set_prohibiting via the corresponding function. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.

Технический анализ и план устранения

Суть уязвимости

CVE-2025-29635 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в маршрутизаторах D-Link DIR-823X. Проблема локализована в обработчике POST-запросов к эндпоинту /goform/set_prohibiting. Из-за недостаточной фильтрации входных данных в соответствующих функциях, авторизованный злоумышленник может внедрить системные команды в параметры запроса. Это позволяет выполнять произвольный код с привилегиями суперпользователя (root) на операционной системе устройства, что ведет к полному компрометации маршрутизатора, перехвату трафика и созданию плацдарма для атак на внутреннюю сеть.

Как исправить

Данное устройство (D-Link DIR-823X) официально достигло статуса End-of-Life (EoL) и End-of-Service (EoS). Производитель прекратил выпуск обновлений безопасности и патчей для этой модели.

Единственным надежным способом исправления является полная замена оборудования на актуальную модель, поддерживаемую производителем.

  1. Отключите устройство от внешней сети.
  2. Сделайте резервную копию необходимых настроек (не включая пароли, если они могли быть скомпрометированы).
  3. Замените маршрутизатор на современный аналог с действующей поддержкой безопасности.

Временные меры

Если немедленная замена невозможна, необходимо максимально ограничить поверхность атаки, однако эти меры не гарантируют полную защиту от эксплуатации уязвимости.

  1. Отключите функцию удаленного управления (Remote Management) через WAN-интерфейс.
  2. Ограничьте доступ к административной панели только доверенными IP-адресами внутри локальной сети.
  3. Смените стандартные пароли администратора на сложные и уникальные, чтобы предотвратить несанкционированную авторизацию, необходимую для эксплуатации данной уязвимости.
  4. Изолируйте устройство в отдельный сегмент сети (VLAN) без доступа к критическим узлам.
  5. Настройте правила межсетевого экрана для блокировки несанкционированного исходящего трафика с самого маршрутизатора.
iptables -A INPUT -p tcp --dport 80 -i eth0 -j DROP


iptables -A INPUT -p tcp --dport 443 -i eth0 -j DROP
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей