事件经过
CVE-2026-59800(CVSS 9.8 严重),发布于 2026 年 7 月 7 日,是 9Router 未认证 tailscale-install 端点中的 OS 命令注入,Shadowserver 自 2026 年 7 月 4 日起已观察到确认的利用证据。
影响分析
尽管 9Router 是一个小众工具,但它在某些 AI 开发隧道/仪表板部署中使用,且未认证 CVSS 9.8 RCE 的确认在野利用证实了即使其部署范围狭窄,作为精确、被积极利用的编目漏洞也值得被纳入。
攻击途径
未认证的 POST /api/tunnel/tailscale-install 端点不受仪表板授权中间件匹配器覆盖;请求体中的 sudoPassword 字段被写入"sudo -S sh"子进程的 stdin,因此当 sudo 不提示输入密码(root 上下文、NOPASSWD 或缓存时间戳)时,该值被 sh 解释为 shell 命令,授予未认证的远程代码执行权限。
受影响系统
9Router 0.4.44 之前的版本
缓解措施
根据 GHSA-g6g7-pvmx-m74p 升级到 9Router ≥0.4.44。