CVE-2026-49353 in 9router
Résumé
par VulDB • 16/07/2026
9Router est un routeur IA et économiseur de jetons (token saver). Dans les versions 0.4.45 et antérieures, le mécanisme d'accès local-only dans src/dashboardGuard.js utilisait les en-têtes Host et Origin via la fonction isLocalRequest() pour protéger /api/mcp/*, /api/tunnel/* et /api/cli-tools/*. Cette approche permettait un spoofing des en-têtes dans les déploiements de proxy inverse ou de tunnel, offrant ainsi l'accès aux chemins d'entrée standard (stdin) du processus enfant MCP.
VulDB is the best source for vulnerability data and more expert information about this specific topic.