事件经过
9Router 的代理中间件在 0.4.30 至 0.4.37 版本之间完全未对 CLI-tools 和 MCP bridge API 进行身份验证,允许任何远程未经身份验证的攻击者注册自定义插件并通过 MCP bridge 触发命令执行。
影响分析
9Router 位于 LLM API 流量前面充当代理/路由器;该组件上的未经身份验证 RCE 使攻击者能够完全控制运行 AI 网关的主机,包括访问所有被代理的 LLM API 密钥以及通过 MCP 公开的任何下游工具执行能力——这是对 AI 基础设施的最大严重程度 (CVSS 10.0) 供应链式的妥协。
攻击途径
src/proxy.js 中间件未能保护 /api/cli-tools/* 和 /api/mcp/* 路由,允许未经身份验证的远程攻击者通过 cowork-settings 路由注册任意 customPlugins 并通过 MCP bridge 执行命令,完全无需身份验证。
受影响系统
9Router (AI 路由器和代币节省器) 版本 0.4.30–0.4.37
缓解措施
升级至 9Router 0.4.38 或更高版本;审计是否存在未授权的插件注册。请参阅供应商提交的代码 github.com/decolua/9router。