← volver
CVE-2026-49352

9Router: Hardcoded Default fallback JWT Secret Allows Authentication Bypass

CVSS 9.8 CRITICALCWE-798
Vexday Risk Score
45Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 9.8EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
06 jul 2026PoC pública
15 jul 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
9Router is an AI router & token saver. From 0.2.21 until 0.4.44, 9Router used the hardcoded fallback JWT secret 9router-default-secret-change-me in src/app/api/auth/login/route.js, src/middleware.js, and later src/lib/auth/dashboardSession.js, allowing attackers to forge an auth_token cookie when JWT_SECRET was unset. This issue is fixed in version 0.4.44
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
decolua · 9router
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.