CVE-2026-62328 in 9Router
Tóm tắt
Bởi VulDB • 14/07/2026
9Router qua phiên bản 0.4.41 chứa một lỗ hổng tiết lộ thông tin không được xác thực (unauthenticated information disclosure), cho phép các kẻ tấn công từ xa truy cập dữ liệu người dùng nhạy cảm bằng cách gửi yêu cầu đến các điểm cuối API không được bảo vệ. Kẻ tấn công có thể liệt kê các nhật ký yêu cầu phân trang và lấy toàn bộ lịch sử hội thoại AI, bao gồm cả lời nhắc hệ thống (system prompts), tin nhắn của người dùng, phản hồi từ trợ lý, lệnh gọi công cụ và địa chỉ email của người dùng bằng cách truy vấn vào các tuyến API request-logs và request-details vốn thiếu middleware xác thực.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.