Fortinet旗下FortiGuard實驗室的研究人員披露了D-Link路由器上的一個遠程命令執行漏洞，牽涉多個型號。

相關安全專家為此漏洞發表了一篇詳細說明文章，且該漏洞已被標記為CVE-2019-16920，是在2019年9月被發現的，攻擊者可在未經身份驗證的情况利用該漏洞。現時CVSS v31的基礎評分為9.8和CVSS v20的基礎評分為10.0。

對用戶來說，有一個壞消息是廠商並不會修復這個漏洞，因為它影響的是已經停產的產品。

根據Fortinet的說法，該漏洞影響了DIR-655、DIR-866L、DIR-652和DHP-1565型號的路由器。

根據安全報告的說法：“在2019年9月，Fortinet的FortiGuard實驗室發現並報告了D-Link產品中一個無視身份驗證的遠程命令執行漏洞（FG-VD-19-117/CVE-2019-16920）。我們認為這是一個致命問題，因為該漏洞可以在不進行身份驗證的情况下遠程觸發。”

攻擊者可以利用該漏洞將任意字串發送到“PingTest”閘道介面來實現命令注入。

“該漏洞始於一次錯誤的身份驗證過程。當我們要進入管理頁面時，需要執行登入操作。此時，我們會對apply_sec.cgi頁面發出POST請求，其中包含一個操作ping_test。研究後發現，我們可通過參數ping_ipaddr執行命令注入。雖然響應是返回登入頁面，但操作ping_test仍然執行了，我們通過參數ping_ipaddr注入的命令echo 1234成功執行，並將結果發送回我們的服務器。”

專家們發現，由於糟糕的身份許可權檢查，即使無用戶許可權，也可以遠程執行命令。

研究人員在9月22日向D-Link報告了漏洞，而廠商在兩天后承認漏洞存在，並在三天后確認不會發佈相關補丁，因為這些產品都已經到了生命週期的終點。

漏洞披露時間表如下：

• 2019年9月22日：FortiGuard實驗室向D-Link報告了漏洞

2019年9月22日：FortiGuard實驗室向D-Link報告了漏洞

• 2019年9月23日：D-Link確認漏洞存在

2019年9月23日：D-Link確認漏洞存在

• 2019年9月25日：D-Link確認這些產品已過生命週期

2019年9月25日：D-Link確認這些產品已過生命週期

• 2019年10月3日：漏洞詳細資訊公開

2019年10月3日：漏洞詳細資訊公開