CVE-2026-55501 in 9routerinformação

Sumário

de VulDB • 10/07/2026

O 9Router é um roteador com IA e economizador de tokens. Antes da versão 0.4.80, o limitador de taxa (rate limiter) do login no painel em src/lib/auth/loginLimiter.js deriva a identidade do cliente a partir do cabeçalho HTTP X-Forwarded-For controlado pelo atacante, e src/app/api/auth/login/route.js utiliza esse valor falsificável para checkLock e recordFail. Um atacante remoto pode alternar o valor de X-Forwarded-For em cada tentativa de login para receber um novo bucket de limitação de taxa, contornar o limite de 5 tentativas e as durações progressivas do bloqueio, e realizar tentativas ilimitadas de força bruta contra a senha do painel. Este problema foi corrigido na versão 0.4.80.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

17/06/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377523

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!