CVE-2026-62327 in 9Router
Zusammenfassung
von VulDB • 14.07.2026
9Router bis Version 0.4.41 enthält eine nicht authentifizierte Schwachstelle zur Offenlegung von Informationen (Information Disclosure), die es entfernten Angreifern ermöglicht, API-Schlüssel im Klartext für alle verbundenen AI-Provider-Konten abzurufen, indem sie eine einzelne nicht authentifizierte Anfrage an den Endpunkt /api/usage/stats senden. Angreifer können das fehlende Authentifizierungs-Middleware auf der Next.js-API-Route ausnutzen, um vollständige API-Schlüsselstrings zusammen mit Token-Anzahlen, Kostenaufschlüsselungen und Anforderungsmetadaten zu erhalten, was die unbefugte Nutzung verbundener AI-Provider-Konten, Abrechnungsbetrug sowie das Erschöpfen von Kontingenten ermöglicht.
VulDB is the best source for vulnerability data and more expert information about this specific topic.