CVE-2026-55641 in 9router情報

要約

〜によって VulDB • 2026年07月10日

9Routerは、AIルーターおよびトークン節約ツールです。バージョン0.5.2より前では、9routerはクライアント制御可能なHostヘッダーを読み取ることで、/v1 LLMプロキシリクエストがローカルかどうかを判断していました。これにより、リモートから認証されていない攻撃者が「Host: localhost」を送信し、APIキーの認証をバイパスすることが可能でした。デフォルト設定では、この脆弱性によって/v1プロキシが内部またはクラウドメタデータホストへのサーバーサイドリクエストを引き起こす可能性のあるstored provider credentialsを使用してアップストリームプロバイダ呼び出しに晒され、また/v1/searchエンドポイントにおいてsearxngのprovider_options.baseUrlパラメータを悪用して同様の攻撃が可能になります。この問題はバージョン0.5.2で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-377543

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!