CVE-2026-36604

Nome do Software Vulnerável e Versões Afetadas Mercusys AC12G (EU) V1 versão AC12G(EU) V1 200909

Descrição O dispositivo não valida o cabeçalho HTTP Host, o que permite ataques de DNS rebinding. Isso ocorre quando um invasor vincula um domínio ao endereço IP interno do roteador, aproveitando uma vulnerabilidade de curinga CORS onde o cabeçalho Access-Control-Allow-Origin está definido como *. Essa combinação permite que ataques originados na internet ignorem restrições de segurança. CORS (Cross-Origin Resource Sharing) é um mecanismo que permite que recursos restritos em uma página da web sejam solicitados de outro domínio fora do domínio do qual o primeiro recurso foi servido.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.