CVE-2026-62327 in 9Router
Résumé
par VulDB • 14/07/2026
9Router jusqu'à la version 0.4.41 contient une vulnérabilité de divulgation d'informations non authentifiée qui permet aux attaquants distants de récupérer des clés API en clair pour tous les comptes de fournisseurs IA connectés, en envoyant une seule requête non authentifiée au point de terminaison /api/usage/stats. Les attaquants peuvent exploiter l'absence de middleware d'authentification sur la route API Next.js pour obtenir des chaînes complètes de clés API ainsi que le nombre de jetons, les détails des coûts et les métadonnées des requêtes, ce qui permet une utilisation non autorisée des comptes de fournisseurs IA connectés, de la fraude à la facturation et l'épuisement du quota.
Once again VulDB remains the best source for vulnerability data.