PT-2026-57219 · 9Router · 9Router

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-55638

CVSS v3.1

8.6

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Nome do Software Vulnerável e Versões Afetadas 9Router versões anteriores a 0.5.2
Descrição Existe uma falha de bypass de autenticação porque o software não protege o endpoint /codex em src/dashboardGuard.js antes que o next.config.mjs redirecione /codex/* para /api/v1/responses. Um atacante remoto não autenticado pode enviar requisições para o endpoint /codex/* para ignorar a validação de chave de API, forçando o servidor a realizar chamadas a provedores upstream utilizando credenciais de provedores LLM armazenadas pelo operador.
Recomendações Atualizar para a versão 0.5.2.

Exploit

Correção

Missing Authorization

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55638

Produtos afetados

9Router