PT-2026-57906 · 9Router · 9Router
Publicado
2026-07-13
·
Atualizado
2026-07-14
·
CVE-2026-62327
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
9Router versões anteriores a 0.4.42
Description
Existe um problema de divulgação de informações não autenticadas que permite que atacantes remotos recuperem chaves de API em texto simples de todas as contas de provedores de IA conectadas. Isso ocorre devido à ausência de middleware de autenticação na rota de API do Next.js no endpoint '/api/usage/stats'. A exploração permite a recuperação de strings completas de chaves de API, contagens de tokens, detalhamentos de custos e metadados de requisição, o que pode levar ao uso não autorizado de contas, fraude de faturamento e exaustão de cotas.
Recommendations
Atualize o 9Router para a versão 0.4.42 ou posterior.
Como medida de mitigação temporária, restrinja o acesso ao endpoint '/api/usage/stats'.
Correção
Insufficiently Protected Credentials
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
9Router