D-Link ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ Remote Command Execution จำนวน 3 รายการ ซึ่งส่งผลกระทบต่อเราเตอร์รุ่น DIR-878 ทุกโมเดล และทุกเวอร์ชันของฮาร์ดแวร์ โดยแม้ว่าเราเตอร์รุ่นนี้จะสิ้นสุดระยะเวลาการ support ไปแล้ว แต่ก็ยังคงมีวางจำหน่ายอยู่ในหลายตลาด

รายละเอียดเชิงเทคนิค และโค้ด Proof-of-Concept (PoC) ที่แสดงให้เห็นถึงช่องโหว่ดังกล่าว ได้รับการเผยแพร่โดยนักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Yangyifan

เนื่องจาก เราเตอร์รุ่น DIR-878 เป็นรุ่นที่นิยมใช้งานกันทั่วไปภายในบ้าน และสำนักงานขนาดเล็ก โดยในช่วงที่เปิดตัวเมื่อปี 2017 นั้น รุ่นนี้ได้รับการยกย่องว่าเป็นเราเตอร์ไร้สายแบบ Dual-band ที่มีประสิทธิภาพสูง

แม้ว่าอุปกรณ์รุ่นนี้จะไม่ได้รับการ support แล้ว แต่ปัจจุบันก็ยังสามารถหาซื้อได้ทั้งในรูปแบบของใหม่ และมือสอง โดยมีราคาอยู่ที่ระหว่าง 75 ถึง 122 ดอลลาร์สหรัฐ

อย่างไรก็ตาม เนื่องจากรุ่น DIR-878 ได้เข้าสู่สถานะสิ้นสุดระยะเวลาการ support ไปแล้วตั้งแต่ปี 2021 ทาง D-Link จึงได้ออกคำเตือนว่าจะ ไม่มีการปล่อยอัปเดตความปลอดภัย สำหรับรุ่นนี้อีกต่อไป และแนะนำให้ผู้ใช้เปลี่ยนไปใช้ผลิตภัณฑ์รุ่นอื่นที่ยังคงได้รับการ support อยู่ในปัจจุบันแทน

สรุปโดยรวมแล้ว ประกาศแจ้งเตือนด้านความปลอดภัยของ D-Link ระบุถึงช่องโหว่ทั้งหมด 4 รายการ โดยในจำนวนนี้มีเพียงรายการเดียวเท่านั้นที่ผู้โจมตีจำเป็นต้องเข้าถึงตัวเครื่องโดยตรง หรือควบคุมอุปกรณ์ผ่าน USB จึงจะสามารถทำการโจมตีได้

CVE-2025-60672 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านพารามิเตอร์ SetDynamicDNSSettings ที่ถูกบันทึกไว้ใน NVRAM และถูกนำไปเรียกใช้ในคำสั่งของระบบ
CVE-2025-60673 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านการตั้งค่า SetDMZSettings โดยอาศัยค่า IPAddress ที่ไม่มีการตรวจสอบความปลอดภัย ซึ่งถูก inject เข้าไปในคำสั่ง iptables
CVE-2025-60674 - ช่องโหว่แบบ Stack overflow ในกระบวนการจัดการอุปกรณ์จัดเก็บข้อมูล USB สาเหตุมาจากฟิลด์ "Serial Number" มีขนาดใหญ่เกินกำหนด (ช่องโหว่ดังกล่าวเป็นการโจมตีที่ต้องเข้าถึงตัวเครื่องโดยตรง หรือทำผ่านอุปกรณ์ USB เท่านั้น)
CVE-2025-60676 - ช่องโหว่แบบ Arbitrary command execution ผ่าน field ข้อมูลที่ไม่มีการตรวจสอบความปลอดภัยในไฟล์ /tmp/new_qos.