CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-36607

HighCVSS 8.8
Published: Updated: Translated: NVD NIST

Summary

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 jest podatny na nieautoryzowane ataki brute-force poprzez punkt końcowy zmiany hasła TDDP (kod=10), który nie ma ograniczenia liczby prób, w przeciwieństwie do punktu logowania (kod=7). Napastnik w sąsiedniej sieci może próbować nieograniczonej liczby haseł bez zablokowania konta.

Risk Assessment

Atakujący może uzyskać dostęp do routera, co może prowadzić do przejęcia kontroli nad urządzeniem oraz potencjalnego dostępu do sieci lokalnej. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Recommendation

Zaleca się aktualizację oprogramowania routera do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak zmiana domyślnych haseł oraz monitorowanie prób logowania.

Original NVD description (English source)

Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 allows unauthenticated brute-force attacks via the TDDP password change endpoint (code=10), which lacks the rate limiting applied to the login endpoint (code=7). An attacker on the adjacent network can attempt unlimited passwords without triggering account lockout.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS