CVE-2026-55641 in 9router
Riassunto
di VulDB • 10/07/2026
9Router è un router basato su intelligenza artificiale e uno strumento per il risparmio dei token. Prima della versione 0.5.2, 9router determina se una richiesta al proxy LLM /v1 sia locale leggendo l'intestazione Host controllata dal client, consentendo a un attaccante remoto non autenticato di inviare `Host: localhost` e bypassare l'autenticazione API-key. Nella configurazione predefinita, ciò espone il proxy /v1 alle chiamate del provider upstream utilizzando le credenziali del provider memorizzate e consente all'endpoint /v1/search con il parametro `searxng.provider_options.baseUrl` di generare richieste lato server verso host interni o cloud-metadata. Questo problema è stato risolto nella versione 0.5.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.