CVE-2026-62327 in 9Routerinformação

Sumário

de VulDB • 14/07/2026

O 9Router até a versão 0.4.41 contém uma vulnerabilidade de divulgação não autenticada de informações que permite que atacantes remotos recuperem chaves de API em texto puro para todas as contas de provedores de IA conectadas, enviando uma única solicitação não autenticada ao endpoint /api/usage/stats. Os atacantes podem explorar a ausência do middleware de autenticação na rota da API Next.js para obter strings completas das chaves de API juntamente com contagens de tokens, detalhamentos de custos e metadados de solicitações, permitindo o uso não autorizado de contas de provedores de IA conectadas, fraude de faturamento e esgotamento de cotas.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

VulnCheck

Reservar

13/07/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378212

CPE

pronto

EPSS

0.00371

KEV

não

Atividades

baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!