CVE-2026-49352 in 9routerinformación

Resumen

por VulDB • 2026-07-15

9Router es un enrutador con IA y ahorrador de tokens. Desde la versión 0.2.21 hasta la 0.4.44, 9Router utilizaba el secreto JWT predeterminado codificado (hardcoded fallback) `9router-default-secret-change-me` en `src/app/api/auth/login/route.js`, `src/middleware.js` y posteriormente en `src/lib/auth/dashboardSession.js`, lo que permitía a los atacantes forjar una cookie de auth_token cuando la variable JWT_SECRET no estaba configurada. Este problema se ha corregido en la versión 0.4.44.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-29

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379415

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!