事件经过
9Router的设置PATCH端点接受任意字段而没有白名单,允许任何经过身份验证的用户翻转应用范围内的安全设置,如requireLogin。
影响分析
结合9Router在此发布集群中的其他身份验证弱点,这为低权限账户提供了一个升级路径,可以完全删除AI路由/代理组件上的身份验证保护。
攻击途径
PATCH /api/settings端点将整个请求体写入持久性设置,没有字段白名单,允许经过身份验证的用户设置安全关键字段(如requireLogin),为整个应用禁用身份验证。
受影响系统
9Router 0.5.4之前的版本
缓解措施
升级到9Router 0.5.4或更高版本。请参阅GHSA-vmjq-hvgq-2wv4。