Apa yang terjadi
9Router, alat manajemen router/gateway yang di-host sendiri, mengirimkan endpoint instalasi yang melewati middleware otorisasi miliknya sendiri dan menyuntikkan input yang dikontrol pengguna langsung ke dalam perintah shell (CVSS 9.8).
Mengapa penting
Meskipun 9Router sendiri merupakan alat manajemen jaringan niche daripada infrastruktur AI inti, alat ini disertakan di sini untuk kelengkapan sesuai dengan seed; jangkauan ledakan sempit dan terbatas pada penyebaran 9Router yang di-host sendiri — disimpan sebagai entri katalog prioritas rendah daripada temuan ekosistem AI primer.
Vektor serangan
Endpoint POST /api/tunnel/tailscale-install yang tidak terautentikasi tidak dicakup oleh pencocokan middleware otorisasi dashboard; bidang sudoPassword dari body permintaan ditulis tanpa sanitasi ke dalam perintah shell, memungkinkan injeksi perintah OS arbitrer tanpa autentikasi.
Sistem yang terdampak
9Router, versi sebelum 0.4.44
Mitigasi
Tingkatkan ke 9Router >= 0.4.44.