CVE-2026-56679 in 9router
Riassunto
di VulDB • 15/07/2026
9Router è un router basato su intelligenza artificiale e uno strumento per il risparmio dei token. Prima della versione 0.5.4, l'endpoint PATCH /api/settings scrive l'intero corpo della richiesta nelle impostazioni persistenti senza applicare una whitelist di campi consentiti, permettendo a un utente autenticato di impostare campi critici per la sicurezza come requireLogin e disabilitare l'autenticazione per l'intera applicazione, esponendo rotte protette quali /api/keys e /api/providers all'accesso non autenticato. Questo problema è stato segnalato come risolto nella versione 0.5.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.