← voltar
CVE-2026-49352

9Router: Hardcoded Default fallback JWT Secret Allows Authentication Bypass

CVSS 9.8 CRITICALCWE-798
Vexday Risk Score
45Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 9.8EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
06 jul 2026PoC pública
15 jul 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
9Router is an AI router & token saver. From 0.2.21 until 0.4.44, 9Router used the hardcoded fallback JWT secret 9router-default-secret-change-me in src/app/api/auth/login/route.js, src/middleware.js, and later src/lib/auth/dashboardSession.js, allowing attackers to forge an auth_token cookie when JWT_SECRET was unset. This issue is fixed in version 0.4.44
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
decolua · 9router
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.