CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-36603

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 udostępnia 15 z 18 akcji UPnP IGD bez uwierzytelnienia na porcie 1900. UPnP jest domyślnie włączone przez interfejs administracyjny, co pozwala na tworzenie dowolnych reguł przekierowania portów przez nieautoryzowane urządzenia w sieci LAN.

Risk Assessment

Brak uwierzytelnienia w UPnP stwarza ryzyko, że nieautoryzowane urządzenia mogą manipulować regułami przekierowania portów, co może prowadzić do nieautoryzowanego dostępu do zasobów sieciowych oraz wycieku danych.

Recommendation

Zaleca się wyłączenie UPnP w interfejsie administracyjnym routera oraz monitorowanie i ograniczenie dostępu do portu 1900, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 exposes 15 of 18 UPnP IGD actions without authentication on port 1900, including AddPortMapping and GetExternalIPAddress. UPnP is enabled by default through the admin interface, allowing any unauthenticated LAN device to create arbitrary port forwarding rules and access WAN traffic statistics.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS