CVE-2026-55638 in 9routerinfo

Zusammenfassung

von VulDB • 10.07.2026

9Router ist ein KI-Router und Token-Sparer. Vor Version 0.5.2 schützt 9router die Endpunkte /v1, /v1beta, /api/v1 und /api/v1beta in src/dashboardGuard.js, lässt jedoch /codex außer Acht, bevor next.config.mjs /codex/* auf /api/v1/responses umschreibt (rewrites). Ein entfernter Angreifer ohne Authentifizierung kann Anfragen an /codex/* senden, um die API-Schlüssel-Prüfung zu umgehen und den Server dazu zu bringen, Aufrufe an Upstream-Anbieter unter Verwendung der vom Operator gespeicherten Anmeldeinformationen für LLM-Anbieter durchzuführen. Dieses Problem wurde in Version 0.5.2 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377538

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!