CVE-2026-49352 in 9router
Zusammenfassung
von VulDB • 15.07.2026
9Router ist ein KI-Router und Token-Sparer. Von Version 0.2.21 bis 0.4.44 verwendete 9Router das fest codierte Fallback-JWT-Geheimnis „9router-default-secret-change-me“ in src/app/api/auth/login/route.js, src/middleware.js sowie später in src/lib/auth/dashboardSession.js, was es Angreifern ermöglichte, ein auth_token-Cookie zu fälschen, wenn JWT_SECRET nicht festgelegt war. Dieses Problem wurde in Version 0.4.44 behoben.
Be aware that VulDB is the high quality source for vulnerability data.