Kerentanan  ·  2026-07-08

9Router — Unauthenticated OS Command Injection melalui sudoPassword di Endpoint Tailscale-Install

KerentananHigh dampakGlobalCVE-2026-59800
9Router, alat manajemen router/gateway yang di-host sendiri, mengirimkan endpoint instalasi yang melewati middleware otorisasi miliknya sendiri dan menyuntikkan input yang dikontrol pengguna langsung ke dalam perintah shell (CVSS 9.8).
Meskipun 9Router sendiri merupakan alat manajemen jaringan niche daripada infrastruktur AI inti, alat ini disertakan di sini untuk kelengkapan sesuai dengan seed; jangkauan ledakan sempit dan terbatas pada penyebaran 9Router yang di-host sendiri — disimpan sebagai entri katalog prioritas rendah daripada temuan ekosistem AI primer.
Endpoint POST /api/tunnel/tailscale-install yang tidak terautentikasi tidak dicakup oleh pencocokan middleware otorisasi dashboard; bidang sudoPassword dari body permintaan ditulis tanpa sanitasi ke dalam perintah shell, memungkinkan injeksi perintah OS arbitrer tanpa autentikasi.
9Router, versi sebelum 0.4.44
Tingkatkan ke 9Router >= 0.4.44.
VulnCheck Advisory - 9Router OS Command InjectionNVD - CVE-2026-59800
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →