CVE-2026-62312 in 9router情報

要約

〜によって VulDB • 2026年07月15日

9RouterはAIルーターおよびトークン節約ツールです。バージョン0.5.2より前の9Routerでは、localhostのみに制限されたルートに対するHostヘッダーのバイパスと、child_process.spawn()に渡される検証されていないMCPプラグイン引数を組み合わせることで、リモートから認証済み攻撃者がホストオペレーティングシステム上で任意のコード実行を達成できます。これにより、悪意のあるカスタムプラグインが/api/mcp//sseを通じてコマンドを実行することが可能になります。この問題はバージョン0.5.2で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年07月13日

モデレーション

承諾済み

エントリ

VDB-379422

EPSS

0.00000

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!