🔴 严重 | CVE-2026-62327 — 9Router through version 0.4.41 contain an unauthen...
🔴 《严重安全漏洞:CVE-2026-62327》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-13
漏洞简介
CVE-2026-62327 是一个存在于 9Router 项目中的未授权信息泄露漏洞。该漏洞源于 Next.js API 路由缺少必要的身份验证中间件(authentication middleware),导致远程攻击者无需任何认证即可访问敏感接口。
具体来说,攻击者只需向 /api/usage/stats 端点发送一个未经验证的 HTTP 请求,即可获取所有已连接 AI 提供商账户的明文 API 密钥(plaintext API keys)。泄露的信息不仅包括完整的 API 密钥字符串,还包含令牌计数(token counts)、成本明细(cost breakdowns)以及请求元数据(request metadata)。
该漏洞涉及以下 CWE 分类:
- CWE-306:关键功能缺少身份验证(Missing Authentication for Critical Function)
- CWE-522:凭证保护不足(Insufficiently Protected Credentials)
影响范围
- 受影响软件:9Router
- 受影响版本:0.4.41 及之前的所有版本
- 攻击条件:无需任何权限,远程网络可达即可利用
风险分析
根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N),该漏洞具有以下风险特征:
- 攻击复杂度低:无需特殊技巧或条件,攻击者可直接发送请求。
- 无需权限:不需要任何用户交互或预先认证。
- 机密性影响高:明文 API 密钥被完全泄露,攻击者可获取所有已连接 AI 提供商账户的完整访问权限。
- 完整性影响高:攻击者利用获取的 API 密钥,可以冒充合法用户调用 AI 服务,执行未经授权的操作。
可能的攻击后果包括:
- 未授权使用 AI 服务:攻击者可使用泄露的 API 密钥调用 AI 提供商(如 OpenAI、Anthropic 等)的付费 API,导致账户被滥用。
- 账单欺诈:攻击者可能大量消耗 API 配额,产生高额费用,直接造成经济损失。
- 配额耗尽:合法用户的 API 调用额度可能被攻击者快速耗尽,导致正常业务中断。
- 敏感信息进一步泄露:结合泄露的元数据,攻击者可能分析出使用模式、成本结构等商业敏感信息。
总结:该漏洞危害严重,攻击者只需一个简单的未认证请求即可获取所有 AI 账户的明文密钥,进而实现远程未授权访问、资源滥用和财务损失。建议立即升级至 0.4.41 之后的版本,或对 /api/usage/stats 端点添加强制身份验证。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-62327 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-306,CWE-522 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | disclosure@vulncheck.com |
🔗 参考链接
💬 评论