2025年7月10日、D-Link製ルーター「DIR-825(ファームウェア2.10)」において、未認証のリモート攻撃によりWebインターフェースがクラッシュする深刻な脆弱性(CVE-2025-7206)が公表されました。本脆弱性は、CVSSスコア9.8のクリティカル(緊急)評価を受けており、企業・家庭・公共Wi-Fi環境における
実害リスクが極めて高いとされています。
脆弱性の対象バージョン
今回の脆弱性(CVE-2025-7206)が影響を与えるのは、D-Link DIR-825のファームウェアバージョン2.10です。このモデルは、家庭用やSOHO(スモールオフィス/ホームオフィス)向けに広く普及しているルーターであり、ファームウェア2.10は現在、D-Linkのサポートが終了している(End-of-Life)製品である点が重要です。
つまり、製品自体がセキュリティ更新対象外であるため、今後のパッチ提供は期待できない可能性が高く、継続使用には大きなリスクが伴います。
EOLの為パッチはリリースされない
現時点(2025年7月時点)では、CVE-2025-7206に対するパッチやアップデートは提供されていません。D-Linkはこの脆弱性を認識していますが、対象製品がすでにサポート外であるため、修正プログラムのリリースは未定または非対応となる可能性があります。
したがって、以下のような代替対応策が強く推奨されます:
-
対象機種の利用を中止し、サポートされているルーターへ交換
-
やむを得ず継続使用する場合は、Webインターフェースへの外部アクセスを遮断
-
ルーター管理ポートへのアクセス制御(LAN内限定化・VPN経由のみ許可など)
-
IDS/IPSによる監視と異常通信検出の導入
脆弱性の概要
CVE-2025-7206は、D-Link DIR-825ルーター内のswitch_language.cgiスクリプトの処理に起因する、スタックベースのバッファオーバーフローです。攻撃者が細工したLanguageパラメータを送信すると、NVRAM(不揮発性メモリ)に保存され、以降、ルーターの通常ページ(login.aspなど)で呼び出された際に、内部処理で境界チェックが不十分なままバッファに書き込まれ、クラッシュを引き起こすというものです。
この脆弱性の深刻な点は以下の通りです:
-
未認証で悪用可能(認証不要)
-
ユーザー操作なしで発動可能な“ゼロクリック”型
-
現時点ではDoS(クラッシュ)だが、将来的にRCE(リモートコード実行)に発展する可能性あり
CVSSスコアは9.8(Critical)に達しており、即時の対応が必要なレベルの深刻なセキュリティ欠陥です。








