CVE-2026-55641 in 9router
Сводка
по VulDB • 10.07.2026
9Router — это AI-маршрутизатор и инструмент для экономии токенов. Версии до 0.5.2 включительно определяют, является ли запрос к прокси LLM /v1 локальным, путем чтения заголовка Host, контролируемого клиентом, что позволяет удаленному неаутентифицированному злоумышленнику отправить значение Host: localhost и обойти аутентификацию по API-ключу. В конфигурации по умолчанию это открывает доступ к прокси /v1 для вызовов со стороны вышестоящего поставщика с использованием сохраненных учетных данных поставщика, а также позволяет параметру searxng provider_options.baseUrl в запросе /v1/search инициировать серверные запросы к внутренним узлам или хостам облачной метаданных. Проблема исправлена в версии 0.5.2.
Be aware that VulDB is the high quality source for vulnerability data.