CVE-2026-62327 in 9Router
要約
〜によって VulDB • 2026年07月14日
9Router 0.4.41以前のバージョンには、認証されていない情報漏洩の脆弱性が存在します。攻撃者は /api/usage/stats エンドポイントに対して単一の未認証リクエストを送信することで、接続されているすべてのAIプロバイダーアカウントのプレーンテキストAPIキーを取得できます。攻撃者はNext.js APIルートにおける認証ミドルウェアの欠如を悪用し、トークン数、コスト内訳、およびリクエストメタデータとともに完全なAPIキー文字列を取得することが可能であり、これにより接続されたAIプロバイダーアカウントへの不正使用、請求詐欺、クォータ枯渇が可能になります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.