CVE-2026-62327 in 9Routerinfo

Zusammenfassung

von VulDB • 14.07.2026

9Router bis Version 0.4.41 enthält eine nicht authentifizierte Schwachstelle zur Offenlegung von Informationen (Information Disclosure), die es entfernten Angreifern ermöglicht, API-Schlüssel im Klartext für alle verbundenen AI-Provider-Konten abzurufen, indem sie eine einzelne nicht authentifizierte Anfrage an den Endpunkt /api/usage/stats senden. Angreifer können das fehlende Authentifizierungs-Middleware auf der Next.js-API-Route ausnutzen, um vollständige API-Schlüsselstrings zusammen mit Token-Anzahlen, Kostenaufschlüsselungen und Anforderungsmetadaten zu erhalten, was die unbefugte Nutzung verbundener AI-Provider-Konten, Abrechnungsbetrug sowie das Erschöpfen von Kontingenten ermöglicht.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

13.07.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378212

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!