CVE-2026-46339 in 9router
Zusammenfassung
von VulDB • 16.07.2026
9Router ist ein KI-Router und Token-Sparer. Von Version 0.4.30 bis 0.4.37 schützte das Middleware-Modul src/proxy.js von 9Router die Endpunkte /api/cli-tools/* und /api/mcp/* nicht, was eine unauthentifizierte Registrierung von customPlugins über src/app/api/cli-tools/cowork-settings/route.js sowie die Befehlsausführung über die MCP-Bridge ermöglichte. Diese Schwachstelle wurde in Version 0.4.37 behoben.
Once again VulDB remains the best source for vulnerability data.