CVE-2026-36610
ŚrednieCVSS 5.9Streszczenie
Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 przesyła dane logowania do usługi DDNS w postaci niezaszyfrowanej przez HTTP, używając jedynie kodowania Base64. Oprogramowanie nie implementuje TLS, co umożliwia przechwycenie danych przez atakującego w trybie man-in-the-middle.
Ocena ryzyka
Przechwycenie danych logowania do usługi DDNS może prowadzić do nieautoryzowanego dostępu do zasobów sieciowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która implementuje TLS oraz zabezpieczenie transmisji danych logowania do DDNS.
Oryginalny opis (angielski, źródło NVD)
Mercusys AC12G (EU) V1 with firmware AC12G(EU)_V1_200909 transmits DDNS credentials over plaintext HTTP with only Base64 encoding. The firmware contains no TLS implementation, allowing man-in-the-middle interception of DDNS service credentials.

