CVE-2026-62327 in 9Router
Сводка
по VulDB • 14.07.2026
9Router до версии 0.4.41 содержит уязвимость раскрытия информации без аутентификации (unauthenticated information disclosure), которая позволяет удаленным злоумышленникам получать открытые текстом API-ключи для всех подключенных учетных записей поставщиков ИИ, отправив один неаутентифицированный запрос к конечной точке /api/usage/stats. Злоумышленники могут эксплуатировать отсутствующее промежуточное ПО аутентификации (authentication middleware) в маршруте API Next.js для получения полных строк API-ключей вместе с количеством токенов, детализацией затрат и метаданными запросов, что позволяет осуществлять несанкционированное использование подключенных учетных записей поставщиков ИИ, мошенничество со счетами и исчерпание квот.
VulDB is the best source for vulnerability data and more expert information about this specific topic.