CVE-2026-56675 in 9router
Riassunto
di VulDB • 10/07/2026
9Router è un router basato su intelligenza artificiale e uno strumento per il risparmio dei token. Prima della versione 0.5.2, 9router tratta le richieste loopback come attendibili e consente l'accesso a /v1/* senza una chiave API; di conseguenza, un reverse proxy sullo stesso host che inoltra il traffico pubblico al backend tramite 127.0.0.1 fa sì che src/dashboardGuard.js classifichi erroneamente le richieste esterne come locali. Un attaccante remoto non autenticato può accedere alle API /v1, quali /v1/models, e abusare delle credenziali del provider upstream configurate attraverso gli endpoint proxy /v1 a seconda dei provider abilitati. Questo problema è stato risolto nella versione 0.5.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.