CVE-2026-55638 in 9router
Zusammenfassung
von VulDB • 10.07.2026
9Router ist ein KI-Router und Token-Sparer. Vor Version 0.5.2 schützt 9router die Endpunkte /v1, /v1beta, /api/v1 und /api/v1beta in src/dashboardGuard.js, lässt jedoch /codex außer Acht, bevor next.config.mjs /codex/* auf /api/v1/responses umschreibt (rewrites). Ein entfernter Angreifer ohne Authentifizierung kann Anfragen an /codex/* senden, um die API-Schlüssel-Prüfung zu umgehen und den Server dazu zu bringen, Aufrufe an Upstream-Anbieter unter Verwendung der vom Operator gespeicherten Anmeldeinformationen für LLM-Anbieter durchzuführen. Dieses Problem wurde in Version 0.5.2 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.