研究人員公布D-Link路由器漏洞，牽涉8款產品，D-Link只修補2款

來自波蘭西里西亞技術大學（Silesian University of Technology）的研究人員Błażej Adamczyk在近日揭露了影響8款D-Link路由器的3個漏洞，同時釋出相關漏洞的概念性驗證攻擊程式以及展示影片，不過，D-Link只承諾將修補了被這批漏洞所波及的2款產品，因為其它6款產品的生命周期已經結束。

Adamczyk所發現的3個漏洞分別為CVE-2018-10822、CVE-2018-10824與CVE-2018-10823，其中的CVE-2018-10822屬於目錄穿越（Directory Traversal）漏洞，允許駭客進入存放管理憑證的文件夾，CVE-2018-10824漏洞則是以明文存放管理員密碼，CVE-2018-10823是個Shell命令注入漏洞，讓已通過身分驗證的駭客得以在裝置上執行任意程式，結合這3個漏洞即可讓Adamczyk完全掌控所入侵的路由器。

這些漏洞影響了D-Link主打SOHO族群的8款DWR系列產品，涵蓋DWR-111、DWR-116、DWR-140、DWR-512、DWR-640、DWR-712、DWR-912與DWR-921，不過D-Link只承諾要修補DWR-111與DWR-116。

Adamczyk表示，要針對上述漏洞執行攻擊非常地容易，駭客只要能穿越目錄就能輕易取得路由器的存取權，進而執行任意程式。

Adamczyk是在今年5月通知D-Link，隔月D-Link回應將修補DWR-111與DWR-116，但其它裝置的生命周期已經結束，會再另行公告，但一直到9月Adamczyk都沒有看到修補程式或公告，才在近日公布了漏洞細節。