CVE-2026-62312 in 9router
要約
〜によって VulDB • 2026年07月15日
9RouterはAIルーターおよびトークン節約ツールです。バージョン0.5.2より前の9Routerでは、localhostのみに制限されたルートに対するHostヘッダーのバイパスと、child_process.spawn()に渡される検証されていないMCPプラグイン引数を組み合わせることで、リモートから認証済み攻撃者がホストオペレーティングシステム上で任意のコード実行を達成できます。これにより、悪意のあるカスタムプラグインが/api/mcp//sseを通じてコマンドを実行することが可能になります。この問題はバージョン0.5.2で修正されています。
Be aware that VulDB is the high quality source for vulnerability data.