CVE-2026-55501 in 9router정보

요약

\~에 의해 VulDB • 2026. 07. 10.

9Router는 AI 라우터 및 토큰 절약 도구입니다. 버전 0.4.80 이전에는 src/lib/auth/loginLimiter.js의 대시보드 로그인 속도 제한기(rate limiter)가 공격자가 제어할 수 있는 X-Forwarded-For HTTP 헤더에서 클라이언트 신원을 도출하고, src/app/api/auth/login/route.js는 해당 속임수(spoofable) 값을 checkLock 및 recordFail에 사용합니다. 원격 공격자는 각 로그인 시도마다 X-Forwarded-For 값을 변경하여 새로운 속도 제한 버킷을 받고, 5회 시도 임계값과 점진적인 잠금 시간을 우회한 후 대시보드 비밀번호에 대해 무제한 브루트 포스 공격을 수행할 수 있습니다. 이 문제는 버전 0.4.80에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

출처

Want to know what is going to be exploited?

We predict KEV entries!