Apa yang terjadi
Middleware proxy 9Router membiarkan permukaan API CLI-tools dan MCP bridge sepenuhnya tidak terauthentikasi antara versi 0.4.30 dan 0.4.37, memungkinkan penyerang jarak jauh tanpa autentikasi apa pun untuk mendaftarkan plugin khusus dan memicu eksekusi perintah melalui jembatan MCP.
Mengapa penting
9Router berada di depan lalu lintas API LLM sebagai proxy/router; RCE yang tidak terauthentikasi pada komponen ini memberikan penyerang kontrol penuh terhadap host yang menjalankan gateway AI, termasuk akses ke semua kunci API LLM yang di-proxy dan kemampuan eksekusi alat hilir apa pun yang diekspos melalui MCP — sebuah kompromi gaya rantai pasokan dengan tingkat keparahan maksimal (CVSS 10.0) dari infrastruktur AI.
Vektor serangan
Middleware src/proxy.js gagal melindungi rute /api/cli-tools/* dan /api/mcp/*, memungkinkan penyerang jarak jauh yang tidak terauthentikasi untuk mendaftarkan customPlugins arbitrer melalui rute cowork-settings dan menjalankan perintah melalui jembatan MCP tanpa autentikasi apa pun.
Sistem yang terdampak
9Router (router AI & penhemat token) versi 0.4.30–0.4.37
Mitigasi
Tingkatkan ke 9Router 0.4.38 atau lebih baru; audit untuk pendaftaran plugin yang tidak sah. Lihat komit vendor di github.com/decolua/9router.