무슨 일이 있었나
9Router의 프록시 미들웨어는 0.4.30~0.4.37 버전 간 CLI 도구 및 MCP 브리지 API 표면을 완전히 인증되지 않은 상태로 두었으며, 이로 인해 모든 원격 인증되지 않은 공격자가 사용자 정의 플러그인을 등록하고 MCP 브리지를 통해 명령 실행을 트리거할 수 있었습니다.
왜 중요한가
9Router는 LLM API 트래픽 앞에 프록시/라우터로 위치하며, 이 컴포넌트의 인증되지 않은 RCE는 공격자에게 AI 게이트웨이를 실행하는 호스트의 완전한 제어권을 제공합니다. 여기에는 모든 프록시된 LLM API 키 및 MCP를 통해 노출되는 모든 다운스트림 도구 실행 기능에 대한 접근이 포함됩니다. 이는 최대 심각도(CVSS 10.0) 공급망 스타일의 AI 인프라 침해입니다.
공격 경로
src/proxy.js 미들웨어가 /api/cli-tools/* 및 /api/mcp/* 경로를 보호하지 못해, 인증되지 않은 원격 공격자가 cowork-settings 경로를 통해 임의의 customPlugins를 등록하고 인증 없이 MCP 브리지를 통해 명령을 실행할 수 있었습니다.
영향받는 시스템
9Router (AI 라우터 & 토큰 세이버) 버전 0.4.30–0.4.37
완화 방안
9Router 0.4.38 이상으로 업그레이드하세요. 승인되지 않은 플러그인 등록을 감시하세요. github.com/decolua/9router의 공급자 커밋을 참조하세요.