🔴 《严重安全漏洞:CVE-2026-62327》

CVSS 评分: 严重(9.3)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-62327 是一个存在于 9Router 项目中的未授权信息泄露漏洞。该漏洞源于 Next.js API 路由缺少必要的身份验证中间件(authentication middleware),导致远程攻击者无需任何认证即可访问敏感接口。

具体来说,攻击者只需向 /api/usage/stats 端点发送一个未经验证的 HTTP 请求,即可获取所有已连接 AI 提供商账户的明文 API 密钥(plaintext API keys)。泄露的信息不仅包括完整的 API 密钥字符串,还包含令牌计数(token counts)、成本明细(cost breakdowns)以及请求元数据(request metadata)。

该漏洞涉及以下 CWE 分类:

  • CWE-306:关键功能缺少身份验证(Missing Authentication for Critical Function)
  • CWE-522:凭证保护不足(Insufficiently Protected Credentials)

影响范围

  • 受影响软件:9Router
  • 受影响版本:0.4.41 及之前的所有版本
  • 攻击条件:无需任何权限,远程网络可达即可利用

风险分析

根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N),该漏洞具有以下风险特征:

  • 攻击复杂度低:无需特殊技巧或条件,攻击者可直接发送请求。
  • 无需权限:不需要任何用户交互或预先认证。
  • 机密性影响高:明文 API 密钥被完全泄露,攻击者可获取所有已连接 AI 提供商账户的完整访问权限。
  • 完整性影响高:攻击者利用获取的 API 密钥,可以冒充合法用户调用 AI 服务,执行未经授权的操作。

可能的攻击后果包括:

  1. 未授权使用 AI 服务:攻击者可使用泄露的 API 密钥调用 AI 提供商(如 OpenAI、Anthropic 等)的付费 API,导致账户被滥用。
  2. 账单欺诈:攻击者可能大量消耗 API 配额,产生高额费用,直接造成经济损失。
  3. 配额耗尽:合法用户的 API 调用额度可能被攻击者快速耗尽,导致正常业务中断。
  4. 敏感信息进一步泄露:结合泄露的元数据,攻击者可能分析出使用模式、成本结构等商业敏感信息。

总结:该漏洞危害严重,攻击者只需一个简单的未认证请求即可获取所有 AI 账户的明文密钥,进而实现远程未授权访问、资源滥用和财务损失。建议立即升级至 0.4.41 之后的版本,或对 /api/usage/stats 端点添加强制身份验证。


🔍 技术细节

字段
CVE ID CVE-2026-62327
CVSS 评分 9.3 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-306,CWE-522
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 disclosure@vulncheck.com

🔗 参考链接