CVE-2026-55501 in 9routerinformación

Resumen

por VulDB • 2026-07-11

9Router es un enrutador con IA y ahorrador de tokens. Antes de la versión 0.4.80, el limitador de velocidad para el inicio de sesión del panel de control (dashboard) en src/lib/auth/loginLimiter.js deriva la identidad del cliente a partir del encabezado HTTP X-Forwarded-For, cuyo valor puede ser controlado por un atacante; además, src/app/api/auth/login/route.js utiliza ese valor falsificable para las funciones checkLock y recordFail. Un atacante remoto puede rotar el valor de X-Forwarded-For en cada intento de inicio de sesión para obtener una nueva cuota (bucket) del limitador de velocidad, evadir el umbral de 5 intentos y los períodos progresivos de bloqueo, y realizar un número ilimitado de ataques de fuerza bruta contra la contraseña del panel de control. Este problema se corrige en la versión 0.4.80.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377523

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!