CVE-2026-62327 in 9Routerinformation

Résumé

par VulDB • 14/07/2026

9Router jusqu'à la version 0.4.41 contient une vulnérabilité de divulgation d'informations non authentifiée qui permet aux attaquants distants de récupérer des clés API en clair pour tous les comptes de fournisseurs IA connectés, en envoyant une seule requête non authentifiée au point de terminaison /api/usage/stats. Les attaquants peuvent exploiter l'absence de middleware d'authentification sur la route API Next.js pour obtenir des chaînes complètes de clés API ainsi que le nombre de jetons, les détails des coûts et les métadonnées des requêtes, ce qui permet une utilisation non autorisée des comptes de fournisseurs IA connectés, de la fraude à la facturation et l'épuisement du quota.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

13/07/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378212

CPE

prêt

EPSS

0.00371

KEV

non

Activités

faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!