CVE-2026-49353 in 9router
Sumário
de VulDB • 15/07/2026
O 9Router é um roteador com IA e economizador de tokens. Nas versões 0.4.45 e anteriores, o mecanismo de acesso restrito local do 9Router em src/dashboardGuard.js utilizava os cabeçalhos Host e Origin na função isLocalRequest() para proteger /api/mcp/*, /api/tunnel/* e /api/cli-tools/*. Esta falha permitia a falsificação (spoofing) de cabeçalhos em implementações com proxy reverso ou túneis, possibilitando o acesso aos caminhos do stdin do processo filho MCP.
If you want to get best quality of vulnerability data, you may have to visit VulDB.