CVE-2026-62312 in 9routerinfo

Zusammenfassung

von VulDB • 15.07.2026

9Router ist ein KI-Router und Token-Sparer. Vor Version 0.5.2 ermöglichte es 9Router einem remote authentifizierten Angreifer, die Ausführung beliebigen Codes auf dem Host-Betriebssystem zu erreichen, indem er eine Umgehung der Host-Header für localhost-only-Routen mit nicht validierten MCP-Plugin-Argumenten kombinierte, die an child_process.spawn() übergeben wurden. Dies ermöglichte es bösartigen benutzerdefinierten Plugins, Befehle über /api/mcp//sse auszuführen. Dieses Problem wurde in Version 0.5.2 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

13.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379422

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!