Katalog CVE

CVE-2026-36604

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 nie weryfikuje nagłówka HTTP Host, co umożliwia ataki DNS rebinding. Zewnętrzny atakujący może powiązać domenę z wewnętrznym adresem IP routera, co rozszerza podatność na CORS (Access-Control-Allow-Origin: *) na ataki pochodzące z internetu.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przejęcia kontroli nad zasobami wewnętrznymi sieci, co może prowadzić do wycieku danych lub nieautoryzowanego dostępu do systemów. Organizacja narażona jest na poważne zagrożenia związane z bezpieczeństwem danych.

Rekomendacja

Zaleca się aktualizację oprogramowania routera do najnowszej wersji, która weryfikuje nagłówek HTTP Host. Dodatkowo, warto rozważyć zastosowanie dodatkowych zabezpieczeń, takich jak segmentacja sieci i ograniczenie dostępu do routera.

Oryginalny opis (angielski, źródło NVD)

Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 does not validate the HTTP Host header, enabling DNS rebinding attacks. An external attacker can rebind a domain to the router's internal IP address, extending the CORS wildcard vulnerability (Access-Control-Allow-Origin: *) to internet-originated attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS