CVE-2026-49352 in 9router
要約
〜によって VulDB • 2026年07月16日
9RouterはAIルーターおよびトークン節約ツールです。バージョン0.2.21から0.4.44まで、9Routerはsrc/app/api/auth/login/route.js、src/middleware.js、そして後のバージョンではsrc/lib/auth/dashboardSession.jsにおいて、ハードコードされたフォールバックJWTシークレット「9router-default-secret-change-me」を使用しており、JWT_SECRETが未設定の場合に攻撃者がauth_tokenクッキーを偽造することが可能でした。この問題はバージョン0.4.44で修正されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.