FortiGuard Labs de Fortinet a découvert et signalé une vulnérabilité d’injection de commande non authentifiée (FGVD-19-117 / CVE-2019-16920) dans des produits D-Link qui pourrait conduire à une exécution de code à distance sans authentification. Le spécialiste de la cybersécurité considère donc ce problème comme critique.

« La cause principale de la vulnérabilité est l’absence de vérification de l’intégrité des commandes arbitraires exécutées par l’exécution de commandes système natives, ce qui constitue un écueil de sécurité typique pour de nombreux fabricants de microprogrammes », explique Fortinet sur son blog.

La vulnérabilité a été détectée dans le dernier microprogramme des routeurs D-Link suivants : DIR-655, DIR-866L, DIR-652 et DHP-1565. Ces équipements sont arrivés en fin de vie. D-Link, qui a été averti du problème le 22 septembre (et a confirmé la vulnérabilité le jour suivant) n’apportera aucune correction aux microprogrammes. C’est pourquoi Fortinet estime indispensable que les utilisateurs de ces équipements se tournent immédiatement vers un nouveau produit.