CVE-2026-36604
CVE-2026-36604
Em resumo
Este roteador não valida de onde as requisições vêm, permitindo que atacantes enganem seu navegador para enviar comandos ao roteador a partir de um site malicioso. As configurações de segurança muito permissivas do roteador tornam isso possível.
Detalhe técnico
O Mercusys AC12G (EU) V1 com firmware AC12G(EU)_V1_200909 não valida o cabeçalho HTTP Host, viabilizando ataques de DNS rebinding. Combinado com misconfiguration de CORS (Access-Control-Allow-Origin: *), um atacante externo pode explorar via requisições cross-origin de um domínio malicioso que resolve para o IP interno do roteador, potencialmente resultando em alterações não autorizadas de configuração ou divulgação de informações.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Mercusys AC12G (EU) V1 router with firmware AC12G(EU)_V1_200909 does not validate the HTTP Host header, enabling DNS rebinding attacks. An external attacker can rebind a domain to the router's internal IP address, extending the CORS wildcard vulnerability (Access-Control-Allow-Origin: *) to internet-originated attacks.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →