PT-2026-57222 · 9Router · 9Router
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-56675
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
9Router versões anteriores a 0.5.2
Description
O 9Router trata requisições de loopback como confiáveis, permitindo o acesso aos endpoints
/v1/* sem uma chave de API. Quando um proxy reverso no mesmo host encaminha o tráfego público para o backend via 127.0.0.1, a função dashboardGuard.js classifica incorretamente requisições externas como locais. Isso permite que um atacante remoto não autenticado acesse APIs como /v1/models e potencialmente abuse de credenciais de provedores upstream configurados através dos endpoints de proxy /v1, dependendo dos provedores habilitados.Recommendations
Atualizar para a versão 0.5.2.
Correção
Authentication Bypass by Spoofing
Missing Authentication
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
9Router