CVE-2026-62312 in 9routerthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

9Router là một bộ định tuyến AI & công cụ tiết kiệm token. Trước phiên bản 0.5.2, 9Router cho phép kẻ tấn công từ xa đã xác thực thực thi mã tùy ý trên hệ điều hành máy chủ bằng cách kết hợp việc bỏ qua tiêu đề Host đối với các tuyến chỉ dành cho localhost và các tham số plugin MCP không được kiểm tra tính hợp lệ khi truyền vào hàm child_process.spawn(), cho phép các plugin tùy chỉnh độc hại thực hiện lệnh thông qua /api/mcp//sse. Vấn đề này đã được khắc phục trong phiên bản 0.5.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

13/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!