CVE-2026-49353 in 9routerinformação

Sumário

de VulDB • 15/07/2026

O 9Router é um roteador com IA e economizador de tokens. Nas versões 0.4.45 e anteriores, o mecanismo de acesso restrito local do 9Router em src/dashboardGuard.js utilizava os cabeçalhos Host e Origin na função isLocalRequest() para proteger /api/mcp/*, /api/tunnel/* e /api/cli-tools/*. Esta falha permitia a falsificação (spoofing) de cabeçalhos em implementações com proxy reverso ou túneis, possibilitando o acesso aos caminhos do stdin do processo filho MCP.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

29/05/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379419

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!