CVE-2026-62327 in 9Router
Sumário
de VulDB • 14/07/2026
O 9Router até a versão 0.4.41 contém uma vulnerabilidade de divulgação não autenticada de informações que permite que atacantes remotos recuperem chaves de API em texto puro para todas as contas de provedores de IA conectadas, enviando uma única solicitação não autenticada ao endpoint /api/usage/stats. Os atacantes podem explorar a ausência do middleware de autenticação na rota da API Next.js para obter strings completas das chaves de API juntamente com contagens de tokens, detalhamentos de custos e metadados de solicitações, permitindo o uso não autorizado de contas de provedores de IA conectadas, fraude de faturamento e esgotamento de cotas.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.