脆弱性  ·  2026-07-17

9Router — PATCH /api/settings Missing Field Whitelist Allows Disabling Authentication Application-Wide

脆弱性Medium 影響度GlobalCVE-2026-56679
9Routerの設定PATCHエンドポイントはホワイトリストなしで任意のフィールドを受け入れており、認証されたユーザーがrequireLoginなどのアプリケーション全体のセキュリティ設定を変更できます。
9Routerのこのリリースクラスター内の他の認証の脆弱性と組み合わせると、低い権限のアカウントがAIルーティング/プロキシコンポーネント上の認証保護を完全に削除するためのエスカレーションパスを提供します。
PATCH /api/settingsエンドポイントはフィールドホワイトリストなしでリクエスト本体全体を永続的な設定に書き込み、認証されたユーザーがrequireLoginなどのセキュリティクリティカルなフィールドを設定でき、アプリケーション全体の認証を無効化できます。
9Router 0.5.4より前
9Router 0.5.4以降にアップグレードしてください。GHSA-vmjq-hvgq-2wv4を参照してください。
GitHub Security Advisory GHSA-vmjq-hvgq-2wv4
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →