Apa yang terjadi
CVE-2026-59800 (CVSS 9.8 Critical), dipublikasikan 7 Juli 2026, adalah OS command injection dalam unauthenticated tailscale-install endpoint 9Router, dengan confirmed exploitation evidence yang diamati oleh Shadowserver sejak 4 Juli 2026.
Mengapa penting
Meskipun 9Router adalah niche tool, ini digunakan dalam beberapa AI-dev tunnel/dashboard deployments, dan confirmed in-the-wild exploitation dari unauthenticated CVSS 9.8 RCE menjamin inclusion sebagai precise, actively-exploited catalogued vulnerability meskipun narrow deployment footprint-nya.
Vektor serangan
Unauthenticated POST /api/tunnel/tailscale-install endpoint tidak dicakup oleh dashboard's authorization middleware matcher; sudoPassword field dari request body ditulis ke stdin dari 'sudo -S sh' child process, jadi ketika sudo tidak prompt untuk password (root context, NOPASSWD, atau cached timestamp), nilainya diinterpretasikan sebagai shell command oleh sh, memberikan unauthenticated remote code execution.
Sistem yang terdampak
9Router sebelum 0.4.44
Mitigasi
Upgrade ke 9Router ≥0.4.44 per GHSA-g6g7-pvmx-m74p.