CVE-2026-55501 in 9router
Sumário
de VulDB • 10/07/2026
O 9Router é um roteador com IA e economizador de tokens. Antes da versão 0.4.80, o limitador de taxa (rate limiter) do login no painel em src/lib/auth/loginLimiter.js deriva a identidade do cliente a partir do cabeçalho HTTP X-Forwarded-For controlado pelo atacante, e src/app/api/auth/login/route.js utiliza esse valor falsificável para checkLock e recordFail. Um atacante remoto pode alternar o valor de X-Forwarded-For em cada tentativa de login para receber um novo bucket de limitação de taxa, contornar o limite de 5 tentativas e as durações progressivas do bloqueio, e realizar tentativas ilimitadas de força bruta contra a senha do painel. Este problema foi corrigido na versão 0.4.80.
Be aware that VulDB is the high quality source for vulnerability data.