CVE-2026-0625: RCE crítica en routers D-Link heredados está siendo explotada activamente — no habrá parche
Un fallo de inyección de comandos con CVSS 9.3 en modelos descontinuados de gateways DSL de D-Link está siendo explotado en producción para ejecución remota de código y reclutamiento en botnets. D-Link confirma que nunca lanzará un parche. Si tienes uno de estos dispositivos, sustitúyelo ahora.
CVE-2026-0625 es una vulnerabilidad de inyección de comandos con CVSS 9.3 en el endpoint dnscfg.cgi de varios modelos descontinuados de gateways DSL de D-Link. Los atacantes la están explotando activamente en producción para ejecución remota de código sin autenticación y reclutamiento en botnets. D-Link ha confirmado que nunca lanzará un parche. Si tienes un dispositivo afectado en una red que toca algo importante, sustitúyelo.
Modelos afectados: DSL-2740R, DSL-2640B, DSL-2780B, DSL-526B. Todos son dispositivos al final de su vida útil con firmware de 2016–2019 que D-Link dejó de soportar hace cinco o más años.
Qué hace la vulnerabilidad: El gestor de configuración DNS del router no sanea la entrada del usuario antes de pasarla a comandos de shell. Un atacante no autenticado en la red (o desde WAN si la interfaz de administración está expuesta) puede inyectar comandos de shell arbitrarios mediante un parámetro de servidor DNS manipulado. Sin credenciales. La explotación lleva segundos.
Qué hacen los atacantes con ella: Los investigadores de seguridad que rastrean las campañas de explotación activa reportan que los routers comprometidos se integran en botnets — probablemente para amplificación DDoS y redes proxy de relleno de credenciales. El secuestro de DNS es también un resultado documentado: los atacantes modifican la configuración DNS del router para redirigir el tráfico legítimo a servidores maliciosos, habilitando phishing y ataques man-in-the-middle en todos los dispositivos de la red.
La solución: No hay parche de firmware y nunca lo habrá. La orientación oficial de D-Link es retirar el dispositivo afectado y sustituirlo por un modelo con soporte activo. Si debes mantener el dispositivo temporalmente, desactiva el acceso de administración desde WAN, coloca el router detrás de otro cortafuegos y segméntalo de los recursos de red críticos. Estas mitigaciones reducen la exposición pero no la eliminan — la vulnerabilidad también es explotable desde la LAN.
Cómo comprobarlo: Accede al panel de administración de tu router y busca el número de modelo. Si coincide con DSL-2740R, DSL-2640B, DSL-2780B o DSL-526B, eres vulnerable. Realiza un análisis rápido de tu red con Shodan o tu herramienta preferida para confirmar si la interfaz de administración está expuesta a internet.
La lección más amplia es una que la industria de seguridad no ha conseguido aprender: millones de dispositivos al final de su vida útil permanecen en línea, conectados a redes domésticas y de pequeñas empresas, sin mecanismo de actualización ni soporte del fabricante. CVE-2026-0625 ha estado bajo explotación activa desde al menos noviembre de 2025 — más de cuatro meses de exposición sin parchear en dispositivos que la gente asume que su ISP mantiene seguros.
Los ISPs que distribuyeron estos dispositivos como parte de sus paquetes de banda ancha tienen una obligación sin resolver aquí. En varios mercados, los modelos afectados de D-Link eran hardware suministrado por el ISP. Los clientes nunca los eligieron, no pueden identificarlos fácilmente como riesgo de seguridad y no tienen un camino claro hacia la sustitución. Es un problema estructural que la numeración de CVEs por sí sola no puede resolver.
Para administradores de red y equipos de seguridad: auditen sus dispositivos perimetrales. Cualquier cosa con firmware de 2019 o anterior sin soporte activo del fabricante debería tratarse como comprometida hasta que sea sustituida.