CVE-2026-56675 in 9routerinfo

Zusammenfassung

von VulDB • 10.07.2026

9Router ist ein KI-Router und Token-Sparer. Vor Version 0.5.2 behandelt 9router Loopback-Anfragen als vertrauenswürdig und gewährt den Zugriff auf /v1/* ohne API-Key, sodass ein Reverse-Proxy mit derselben Hostadresse, der öffentlichen Traffic über 127.0.0.1 an das Backend weiterleitet, dazu führt, dass src/dashboardGuard.js externe Anfragen fälschlicherweise als lokale Anfragen einstuft. Ein entfernter Angreifer ohne Authentifizierung kann auf /v1-APIs wie /v1/models zugreifen und möglicherweise die konfigurierten Anmeldeinformationen des Upstream-Anbieters über /v1-Proxy-Endpunkte missbrauchen, abhängig von den aktivierten Providern. Dieses Problem wurde in Version 0.5.2 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

22.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377549

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!