CVE-2026-36607
WysokieCVSS 8.8Streszczenie
Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 jest podatny na nieautoryzowane ataki brute-force poprzez punkt końcowy zmiany hasła TDDP (kod=10), który nie ma ograniczenia liczby prób, w przeciwieństwie do punktu logowania (kod=7). Napastnik w sąsiedniej sieci może próbować nieograniczonej liczby haseł bez zablokowania konta.
Ocena ryzyka
Atakujący może uzyskać dostęp do routera, co może prowadzić do przejęcia kontroli nad urządzeniem oraz potencjalnego dostępu do sieci lokalnej. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania routera do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak zmiana domyślnych haseł oraz monitorowanie prób logowania.
Oryginalny opis (angielski, źródło NVD)
Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 allows unauthenticated brute-force attacks via the TDDP password change endpoint (code=10), which lacks the rate limiting applied to the login endpoint (code=7). An attacker on the adjacent network can attempt unlimited passwords without triggering account lockout.

