PT-2026-57222 · 9Router · 9Router

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-56675

CVSS v3.1

8.3

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas 9Router versões anteriores a 0.5.2
Description O 9Router trata requisições de loopback como confiáveis, permitindo o acesso aos endpoints /v1/* sem uma chave de API. Quando um proxy reverso no mesmo host encaminha o tráfego público para o backend via 127.0.0.1, a função dashboardGuard.js classifica incorretamente requisições externas como locais. Isso permite que um atacante remoto não autenticado acesse APIs como /v1/models e potencialmente abuse de credenciais de provedores upstream configurados através dos endpoints de proxy /v1, dependendo dos provedores habilitados.
Recommendations Atualizar para a versão 0.5.2.

Correção

Authentication Bypass by Spoofing

Missing Authentication

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56675

Produtos afetados

9Router