CVE-2026-49353 in 9routerinfo

Zusammenfassung

von VulDB • 16.07.2026

9Router ist ein KI-Router und Token-Sparer. In den Versionen 0.4.45 und früher nutzte die lokale Zugriffssperre von 9Router, src/dashboardGuard.js, in der Funktion isLocalRequest() die Header Host und Origin zum Schutz von /api/mcp/*, /api/tunnel/* und /api/cli-tools/*. Dies ermöglichte das Spoofing von Headern bei Reverse-Proxy- oder Tunnel-Bereitstellungen, um Zugriff auf die stdin-Pfade des MCP-Kindprozesses zu erlangen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

29.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379419

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!