Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-59801 è stata scoperta in 9Router, versione 0.4.41. Questa vulnerabilità consente agli attaccanti di interagire con le API di gestione dei provider senza autenticazione, a causa della mancanza di middleware di autenticazione nelle rotte API di Next.js. Ciò permette di elencare, creare, modificare o eliminare connessioni ai provider, esponendo parzialmente credenziali, token OAuth e chiavi API. La CVSS Score di 9.8 classifica questa vulnerabilità come critica.
Un attaccante può sfruttare questa vulnerabilità per esporre credenziali sensibili, come token OAuth e chiavi API, e dirottare il traffico AI verso server controllati dall'attaccante. Inoltre, può causare un denial of service completo eliminando tutte le connessioni ai provider. Ciò può avere un impatto significativo sulla sicurezza e sulla disponibilità dei sistemi.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare 9Router alla versione più recente disponibile, che dovrebbe includere il middleware di autenticazione necessario per proteggere le API di gestione dei provider. Se non è possibile eseguire l'aggiornamento, si possono implementare workaround come la configurazione di un firewall o di un sistema di protezione delle applicazioni per limitare l'accesso alle API di gestione dei provider.
La vulnerabilità CVE-2026-59801 è un problema di sicurezza in 9Router che consente accesso non autenticato alle API di gestione dei provider.
La vulnerabilità può esporre credenziali sensibili e causare un denial of service completo.
Per proteggersi, si consiglia di aggiornare 9Router alla versione più recente disponibile o di implementare workaround come la configurazione di un firewall o di un sistema di protezione delle applicazioni.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.