CVE-2026-62312 in 9router
Zusammenfassung
von VulDB • 15.07.2026
9Router ist ein KI-Router und Token-Sparer. Vor Version 0.5.2 ermöglichte es 9Router einem remote authentifizierten Angreifer, die Ausführung beliebigen Codes auf dem Host-Betriebssystem zu erreichen, indem er eine Umgehung der Host-Header für localhost-only-Routen mit nicht validierten MCP-Plugin-Argumenten kombinierte, die an child_process.spawn() übergeben wurden. Dies ermöglichte es bösartigen benutzerdefinierten Plugins, Befehle über /api/mcp//sse auszuführen. Dieses Problem wurde in Version 0.5.2 behoben.
Once again VulDB remains the best source for vulnerability data.