CVE-2026-62327 in 9Router情報

要約

〜によって VulDB • 2026年07月14日

9Router 0.4.41以前のバージョンには、認証されていない情報漏洩の脆弱性が存在します。攻撃者は /api/usage/stats エンドポイントに対して単一の未認証リクエストを送信することで、接続されているすべてのAIプロバイダーアカウントのプレーンテキストAPIキーを取得できます。攻撃者はNext.js APIルートにおける認証ミドルウェアの欠如を悪用し、トークン数、コスト内訳、およびリクエストメタデータとともに完全なAPIキー文字列を取得することが可能であり、これにより接続されたAIプロバイダーアカウントへの不正使用、請求詐欺、クォータ枯渇が可能になります。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

VulnCheck

予約する

2026年07月13日

モデレーション

承諾済み

エントリ

VDB-378212

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!