何が起きたか
9Router のプロキシミドルウェアは、バージョン 0.4.30 から 0.4.37 の間、CLI ツールおよび MCP ブリッジ API サーフェス全体を完全に認証されていない状態で放置し、任意のリモート認証されていない攻撃者がカスタムプラグインを登録し MCP ブリッジを通じてコマンド実行をトリガーすることを許可しました。
なぜ重要か
9Router は LLM API トラフィックの前にプロキシ/ルーターとして配置されています。このコンポーネント上での認証されていない RCE は、攻撃者に AI ゲートウェイを実行しているホストの完全な制御を与えます。これは、すべてのプロキシ化された LLM API キーおよび MCP を通じて公開されているダウンストリームツール実行機能へのアクセスを含み、AI インフラストラクチャの最大重大度(CVSS 10.0)サプライチェーンスタイルの侵害です。
攻撃経路
src/proxy.js ミドルウェアは /api/cli-tools/* および /api/mcp/* ルートの保護に失敗し、認証されていないリモート攻撃者が cowork-settings ルートを通じて任意の customPlugins を登録し認証なしで MCP ブリッジを通じてコマンドを実行することを許可しました。
影響を受けるシステム
9Router(AI ルーター & トークンセーバー)バージョン 0.4.30–0.4.37
緩和策
9Router 0.4.38 以降にアップグレードしてください。不正なプラグイン登録をないことを確認してください。github.com/decolua/9router のベンダーコミットを参照してください。