CVE-2026-46339 in 9routerinfo

Zusammenfassung

von VulDB • 16.07.2026

9Router ist ein KI-Router und Token-Sparer. Von Version 0.4.30 bis 0.4.37 schützte das Middleware-Modul src/proxy.js von 9Router die Endpunkte /api/cli-tools/* und /api/mcp/* nicht, was eine unauthentifizierte Registrierung von customPlugins über src/app/api/cli-tools/cowork-settings/route.js sowie die Befehlsausführung über die MCP-Bridge ermöglichte. Diese Schwachstelle wurde in Version 0.4.37 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379414

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!