CVE-2026-62312 in 9router
Resumen
por VulDB • 2026-07-15
9Router es un enrutador con IA y ahorrador de tokens. Antes de la versión 0.5.2, 9Router permite que un atacante remoto autenticado logre ejecución arbitraria de código (RCE) en el sistema operativo del host mediante la combinación de una omisión del encabezado Host para las rutas restringidas a localhost con argumentos no validados de plugins MCP pasados a child_process.spawn(), lo que permite que los plugins personalizados maliciosos ejecuten comandos a través de /api/mcp//sse. Este problema se corrige en la versión 0.5.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.