CVE-2026-49353 in 9routerinformation

Résumé

par VulDB • 16/07/2026

9Router est un routeur IA et économiseur de jetons (token saver). Dans les versions 0.4.45 et antérieures, le mécanisme d'accès local-only dans src/dashboardGuard.js utilisait les en-têtes Host et Origin via la fonction isLocalRequest() pour protéger /api/mcp/*, /api/tunnel/* et /api/cli-tools/*. Cette approche permettait un spoofing des en-têtes dans les déploiements de proxy inverse ou de tunnel, offrant ainsi l'accès aux chemins d'entrée standard (stdin) du processus enfant MCP.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

29/05/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379419

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!