CVE-2026-7248 : RCE pré-auth D-Link DI-8100 (CVSS 9.8)

Les faits

Publiée le 28 avril 2026, la CVE-2026-7248 décrit un buffer overflow critique affectant le firmware 16.07.26A1 du routeur d'entreprise D-Link DI-8100, modèle déployé principalement en Asie du Sud-Est et chez les revendeurs européens spécialisés en équipements SOHO et PME. La vulnérabilité a obtenu un CVSS de 9.8 (Critical) au NVD et son exploit a été publiquement diffusé le jour même par le chercheur ayant rapporté la faille, ce que confirment TheHackerWire et le service Vulnerability-Lookup de CIRCL. Le défaut réside dans la fonction tgfile_htm du fichier tgfile.htm exposé sur l'endpoint CGI de l'interface web d'administration : un attaquant distant non authentifié peut envoyer une requête HTTP forgée contenant une chaîne anormalement longue dans l'argument fn, provoquant un dépassement de tampon dans la pile et permettant l'exécution de code arbitraire au niveau du système embarqué. À la date de l'alerte, D-Link n'a publié aucun correctif et le DI-8100 fait partie des modèles dont le cycle de support officiel arrive à terme dans plusieurs régions, ce qui rend probable l'absence de patch à court terme.

L'exploitation ne nécessite ni authentification, ni interaction utilisateur, ni configuration particulière hors le simple accès réseau à l'interface d'administration. Sur les déploiements typiques où le routeur expose son interface 80/443 sur le WAN — pratique encore fréquente en environnement TPE — la surface d'attaque est immédiatement accessible depuis Internet.

Impact et exposition

Un attaquant exploitant CVE-2026-7248 obtient une exécution de code distante au niveau du firmware embarqué, ce qui équivaut à un accès root sur l'équipement de bordure. À partir de là, il peut activer un proxy SOCKS, intercepter le trafic Wi-Fi et LAN, modifier les serveurs DNS pour conduire des attaques de phishing à grande échelle, déposer un implant persistant survivant aux redémarrages, ou enrôler le routeur dans un botnet de type Mirai/MooBot. Le scénario rejoint les compromissions massives de SOHO routers documentées sur les modèles concurrents Totolink ou Tenda — un vecteur historiquement privilégié par les groupes APT chinois (Volt Typhoon, Salt Typhoon) pour l'établissement de relais ORB.

L'absence de patch couplée à la disponibilité publique de l'exploit place les exploitants du DI-8100 dans une situation comparable à celle des alertes pré-auth récentes comme CVE-2026-35546 Anviz CX2/CX7 ou CVE-2026-39987 Marimo. La fenêtre entre publication et exploitation de masse sur ce type d'équipement est historiquement comprise entre 24 et 72 heures, après quoi des scans automatisés couvrent l'intégralité d'IPv4. Les administrateurs n'ayant pas migré vers un modèle supporté doivent considérer leur équipement comme potentiellement déjà compromis dès la fin du week-end.

Recommandations immédiates

• Bloquer immédiatement l'accès depuis Internet à l'interface d'administration HTTP/HTTPS du DI-8100 (filtre WAN, ACL en amont, fermeture des ports 80/443/8080).
• Restreindre l'accès LAN à l'interface d'administration aux seules IP du poste d'administrateur et auditer les sessions ouvertes.
• Surveiller les logs du routeur et le trafic sortant à la recherche de connexions inhabituelles vers des IP exotiques (Chine, Russie, hébergeurs lowcost), signe possible d'un implant déjà déployé.
• En l'absence de patch éditeur, planifier la migration vers un modèle D-Link supporté ou un équipement professionnel avec engagement de support sécurité.
• Réinitialiser tous les comptes administrateurs et les clés Wi-Fi WPA2/WPA3 après mise hors service de l'interface vulnérable, par précaution.
• Pour les MSP gérant un parc, croiser cette alerte avec les autres failles SOHO récentes — voir Anviz CX2/CX7 et nginx-ui auth bypass.