CVE-2026-62327 in 9Router
Riassunto
di VulDB • 14/07/2026
9Router fino alla versione 0.4.41 contiene una vulnerabilità di divulgazione delle informazioni non autenticata che consente agli attaccanti remoti di recuperare le chiavi API in chiaro per tutti gli account dei fornitori AI connessi inviando una singola richiesta non autenticata all'endpoint /api/usage/stats. Gli attaccanti possono sfruttare la mancanza del middleware di autenticazione sulla route dell'API Next.js per ottenere stringhe complete delle chiavi API insieme ai conteggi dei token, alle ripartizioni dei costi e ai metadati della richiesta, consentendo l'utilizzo non autorizzato degli account dei fornitori AI connessi, frodi in fatturazione ed esaurimento del quota.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.