漏洞  ·  2026-07-17

9Router — PATCH /api/settings 缺少字段白名单允许在应用范围内禁用身份验证

漏洞Medium 影响GlobalCVE-2026-56679
9Router的设置PATCH端点接受任意字段而没有白名单,允许任何经过身份验证的用户翻转应用范围内的安全设置,如requireLogin。
结合9Router在此发布集群中的其他身份验证弱点,这为低权限账户提供了一个升级路径,可以完全删除AI路由/代理组件上的身份验证保护。
PATCH /api/settings端点将整个请求体写入持久性设置,没有字段白名单,允许经过身份验证的用户设置安全关键字段(如requireLogin),为整个应用禁用身份验证。
9Router 0.5.4之前的版本
升级到9Router 0.5.4或更高版本。请参阅GHSA-vmjq-hvgq-2wv4。
GitHub Security Advisory GHSA-vmjq-hvgq-2wv4
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →