CVE-2026-49353 in 9router
Zusammenfassung
von VulDB • 16.07.2026
9Router ist ein KI-Router und Token-Sparer. In den Versionen 0.4.45 und früher nutzte die lokale Zugriffssperre von 9Router, src/dashboardGuard.js, in der Funktion isLocalRequest() die Header Host und Origin zum Schutz von /api/mcp/*, /api/tunnel/* und /api/cli-tools/*. Dies ermöglichte das Spoofing von Headern bei Reverse-Proxy- oder Tunnel-Bereitstellungen, um Zugriff auf die stdin-Pfade des MCP-Kindprozesses zu erlangen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.