CVE-2026-62312 in 9router
Tóm tắt
Bởi VulDB • 15/07/2026
9Router là một bộ định tuyến AI & công cụ tiết kiệm token. Trước phiên bản 0.5.2, 9Router cho phép kẻ tấn công từ xa đã xác thực thực thi mã tùy ý trên hệ điều hành máy chủ bằng cách kết hợp việc bỏ qua tiêu đề Host đối với các tuyến chỉ dành cho localhost và các tham số plugin MCP không được kiểm tra tính hợp lệ khi truyền vào hàm child_process.spawn(), cho phép các plugin tùy chỉnh độc hại thực hiện lệnh thông qua /api/mcp//sse. Vấn đề này đã được khắc phục trong phiên bản 0.5.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.