Fin avril 2026, CVE-2026-7248 (CVSS 9.8) a été publiée affectant le routeur D-Link DI-8100 sur firmware 16.07.26A1. La fonction tgfile_htm de l'endpoint tgfile.htm souffre d'un buffer overflow exploitable à distance sans authentification via le paramètre fn. Un PoC public a été publié, ce qui met immédiatement en danger toutes les unités déployées et accessibles via réseau.
Détails techniques
L'endpoint CGI tgfile.htm traite des opérations de manipulation de fichiers internes au routeur. La fonction tgfile_htm copie la valeur du paramètre HTTP fn dans un buffer en pile de taille fixe sans contrôle de longueur. En envoyant une chaîne suffisamment longue dans fn, l'attaquant écrase la pile et peut détourner l'exécution du programme.
Selon les protections compilées dans le firmware (souvent absentes ou partielles sur les routeurs grand public — pas de stack canary, pas d'ASLR effectif sur certaines architectures MIPS/ARM), l'attaque peut conduire :
- À un déni de service (crash du processus CGI, redémarrage du routeur)
- À une exécution de code arbitraire en tant que
rootsi l'attaquant maîtrise le retour ROP
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-120 (Buffer Copy without Checking Size of Input) |
| Authentification | Aucune |
| Exploit public | Oui |
Produits et versions affectés
| Produit | Version firmware | Statut |
|---|---|---|
| D-Link DI-8100 | 16.07.26A1 | ❌ Vulnérable |
Les autres firmwares de la gamme DI-8100 doivent également être considérés comme potentiellement affectés tant qu'aucun bulletin officiel ne les écarte explicitement. D-Link n'a pas publié de patch au moment de la rédaction.
Exploitation et impact
Vecteur d'attaque
Une simple requête HTTP avec un paramètre fn contenant une charge utile longue suffit. Si le panneau d'administration est exposé à Internet, l'attaque peut être lancée depuis n'importe quelle IP.
Conséquences
- Déni de service : reboot en boucle du routeur, perte de connectivité Internet pour le LAN
- RCE root : si l'exploit ROP est maîtrisé pour la version firmware ciblée, contrôle complet du routeur
- Pivot LAN : tous les équipements derrière le routeur deviennent accessibles à l'attaquant
- Recrutement botnet : Mirai et variantes scannent activement les D-Link
PoC public
# Exemple générique — la longueur exacte dépend de la version compilée
curl "http://<router-ip>/tgfile.htm?fn=$(python3 -c 'print("A"*2048)')"
Détection et IOC
Sur le réseau
- Requêtes HTTP avec paramètre
fnanormalement long (> 256 caractères) vers/tgfile.htm - Crashs répétés / redémarrages du routeur (visibles dans les logs SNMP ou de votre solution de monitoring réseau)
Règle Snort/Suricata
alert http any any -> any any (msg:"D-Link DI-8100 tgfile.htm buffer overflow attempt"; \
http.uri; content:"/tgfile.htm"; http.uri; content:"fn="; \
pcre:"/fn=[^&]{256,}/"; sid:2026007248; rev:1;)
Indicateurs post-exploitation
- Trafic sortant inhabituel
- Modifications DNS
- Comptes admin inattendus dans la configuration
Mitigation
Action immédiate
- Désactiver l'accès Internet à l'interface d'administration
- Restreindre l'accès LAN au panneau via une ACL stricte (single management IP)
- Bloquer les requêtes longues sur
/tgfile.htmau niveau d'un firewall amont
Workaround côté upstream
Sur un firewall ou WAF amont, ajoutez une règle limitant la taille des paramètres HTTP vers le routeur. Sur Nginx en reverse proxy par exemple :
location /tgfile.htm {
if ($arg_fn ~ ".{256,}") {
return 403;
}
proxy_pass http://router;
}
Solution durable
- Mettre à jour le firmware dès qu'un patch est publié par D-Link
- Remplacer le routeur si la fin de support est annoncée
- Considérer un firmware tiers (OpenWrt) sur les modèles compatibles
Pourquoi surveiller en continu votre parc
Les routeurs ne sont presque jamais inclus dans les inventaires de vulnérabilités traditionnels — pourtant ce sont des passerelles privilégiées pour les attaquants. Une CVE comme CVE-2026-7248, avec PoC public et sans patch, peut compromettre des milliers d'organisations qui ignorent encore qu'un de leurs équipements est concerné.
Avec cveo.tech, inventoriez vos routeurs au même titre que vos serveurs et soyez alerté automatiquement dès qu'une CVE critique vise une de vos versions exactes — sans délai, sans veille manuelle.