PT-2026-57906 · 9Router · 9Router

Publicado

2026-07-13

·

Atualizado

2026-07-14

·

CVE-2026-62327

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas 9Router versões anteriores a 0.4.42
Description Existe um problema de divulgação de informações não autenticadas que permite que atacantes remotos recuperem chaves de API em texto simples de todas as contas de provedores de IA conectadas. Isso ocorre devido à ausência de middleware de autenticação na rota de API do Next.js no endpoint '/api/usage/stats'. A exploração permite a recuperação de strings completas de chaves de API, contagens de tokens, detalhamentos de custos e metadados de requisição, o que pode levar ao uso não autorizado de contas, fraude de faturamento e exaustão de cotas.
Recommendations Atualize o 9Router para a versão 0.4.42 ou posterior. Como medida de mitigação temporária, restrinja o acesso ao endpoint '/api/usage/stats'.

Correção

Insufficiently Protected Credentials

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-62327

Produtos afetados

9Router