何が起きたか
CVE-2026-59800(CVSS 9.8 Critical)は2026年7月7日に公開されたもので、9Routerの認証なしtailscale-installエンドポイントでのOSコマンドインジェクションであり、Shadowserverが2026年7月4日以降に確認した悪用証拠があります。
なぜ重要か
9Routerは専門的なツールですが、一部のAI開発トンネル/ダッシュボードデプロイメントで使用されており、認証なしCVSS 9.8 RCEの確認済み実在する悪用は、狭いデプロイメントフットプリントにもかかわらず、正確でアクティブに悪用されているカタログ化された脆弱性として含める価値があります。
攻撃経路
認証なしのPOST /api/tunnel/tailscale-installエンドポイントはダッシュボードの認可ミドルウェアマッチャーでカバーされていません。リクエスト本文のsudoPasswordフィールドが「sudo -S sh」子プロセスのstdinに書き込まれるため、sudoがパスワードプロンプトを出さない場合(rootコンテキスト、NOPASSWDまたはキャッシュされたタイムスタンプ)、値はshによってシェルコマンドとして解釈され、認証なしのリモートコード実行を付与します。
影響を受けるシステム
9Router 0.4.44より前
緩和策
GHSA-g6g7-pvmx-m74pに基づいて9Router ≥0.4.44にアップグレードしてください。