CVE-2026-36604
MediumCVSS 6.5Summary
Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 nie weryfikuje nagłówka HTTP Host, co umożliwia ataki DNS rebinding. Zewnętrzny atakujący może powiązać domenę z wewnętrznym adresem IP routera, co rozszerza podatność na CORS (Access-Control-Allow-Origin: *) na ataki pochodzące z internetu.
Risk Assessment
Atakujący może wykorzystać tę podatność do przejęcia kontroli nad zasobami wewnętrznymi sieci, co może prowadzić do wycieku danych lub nieautoryzowanego dostępu do systemów. Organizacja narażona jest na poważne zagrożenia związane z bezpieczeństwem danych.
Recommendation
Zaleca się aktualizację oprogramowania routera do najnowszej wersji, która weryfikuje nagłówek HTTP Host. Dodatkowo, warto rozważyć zastosowanie dodatkowych zabezpieczeń, takich jak segmentacja sieci i ograniczenie dostępu do routera.
Original NVD description (English source)
Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 does not validate the HTTP Host header, enabling DNS rebinding attacks. An external attacker can rebind a domain to the router's internal IP address, extending the CORS wildcard vulnerability (Access-Control-Allow-Origin: *) to internet-originated attacks.

