CVE-2026-55501 in 9router
요약
\~에 의해 VulDB • 2026. 07. 10.
9Router는 AI 라우터 및 토큰 절약 도구입니다. 버전 0.4.80 이전에는 src/lib/auth/loginLimiter.js의 대시보드 로그인 속도 제한기(rate limiter)가 공격자가 제어할 수 있는 X-Forwarded-For HTTP 헤더에서 클라이언트 신원을 도출하고, src/app/api/auth/login/route.js는 해당 속임수(spoofable) 값을 checkLock 및 recordFail에 사용합니다. 원격 공격자는 각 로그인 시도마다 X-Forwarded-For 값을 변경하여 새로운 속도 제한 버킷을 받고, 5회 시도 임계값과 점진적인 잠금 시간을 우회한 후 대시보드 비밀번호에 대해 무제한 브루트 포스 공격을 수행할 수 있습니다. 이 문제는 버전 0.4.80에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.