Kerentanan  ·  2026-07-17

9Router — PATCH /api/settings Kehilangan Whitelist Field Memungkinkan Menonaktifkan Autentikasi di Seluruh Aplikasi

KerentananMedium dampakGlobalCVE-2026-56679
Endpoint PATCH settings 9Router menerima field arbitrer tanpa whitelist, memungkinkan pengguna yang terautentikasi untuk mengubah pengaturan keamanan tingkat aplikasi seperti requireLogin.
Dikombinasikan dengan kelemahan autentikasi lain 9Router dalam rilis cluster ini, ini menyediakan jalur eskalasi bagi akun dengan privilege rendah untuk menghapus proteksi autentikasi sepenuhnya pada komponen routing/proxy AI.
Endpoint PATCH /api/settings menulis seluruh request body ke pengaturan persisten tanpa whitelist field, memungkinkan pengguna yang terautentikasi untuk menetapkan field yang critical untuk keamanan seperti requireLogin, menonaktifkan autentikasi untuk seluruh aplikasi.
9Router sebelum 0.5.4
Upgrade ke 9Router 0.5.4 atau lebih baru. Lihat GHSA-vmjq-hvgq-2wv4.
GitHub Security Advisory GHSA-vmjq-hvgq-2wv4
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →