CVE-2026-9495— @koa/router 14.0.0-15.0.0 访问控制绕过
Possible ATT&CK Techniques 1AI
T1528 · Steal Application Access TokenAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| n/a | @koa/router | 14.0.0< 15.0.0 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-9495の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
N/A
ソース: NVD (National Vulnerability Database)
脆弱性説明
Versions of the package @koa/router from 14.0.0 and before 15.0.0 are vulnerable to Access Control Bypass due to the middleware being silently dropped from the execution chain when the router prefix contains path parameters. Depending on what the skipped middleware was supposed to protect, an attacker could bypass authentication and authorization, evade rate limiting or bypass input sanitization.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
访问控制不恰当
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| - | @koa/router | 14.0.0 ~ 15.0.0 | - |
II. CVE-2026-9495の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
Qwen3.6-35B-A3B · 4704 文字数
有料版に含まれるもの:
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-9495のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-9495 补丁与修复 (2)
CVE-2026-9495 厂商安全公告 (1)
Same Patch Batch · n/a · 2026-05-26 · 31 CVEs total
| CVE-2026-9496 | 7.5 HIGH | pacote 11.2.7 DoS漏洞 |
| CVE-2026-9580 | 7.3 HIGH | JeecgBoot selectDepart LoginController.selectDepart access control |
| CVE-2026-9581 | 6.3 MEDIUM | JeecgBoot add access control |
| CVE-2026-9579 | 6.3 MEDIUM | JeecgBoot SysUser userEdit user.getUsername access control |
| CVE-2026-9541 | 5.3 MEDIUM | Squirrel Cnut File sqobject.cpp ReadObject heap-based overflow |
| CVE-2026-9568 | 5.0 MEDIUM | ThingsBoard YAML provision getGatewayDockerComposeFile code injection |
| CVE-2026-9604 | 4.3 MEDIUM | JeecgBoot AiragModelController access control |
| CVE-2026-9567 | 3.3 LOW | GPAC MP4Box isom_intern.c MergeFragment null pointer dereference |
| CVE-2026-9572 | 3.3 LOW | GPAC MP4Box media.c Media_GetSample memory leak |
| CVE-2025-68711 | AppLockZ 4.2.11 绕过PIN锁致信息泄露 | |
| CVE-2025-68708 | SailingLab AppLock 4.3.8应用绕过漏洞 | |
| CVE-2026-36239 | PbootCMS v3.2.11 站点配置代码注入漏洞 | |
| CVE-2025-68710 | Easyelife App lock 1.9.2 覆盖绕过导致信息泄露 | |
| CVE-2025-68709 | Android AppLock 4.3.8 远程代码执行漏洞 | |
| CVE-2026-48689 | FastNetMon <1.2.9 堆溢出漏洞 | |
| CVE-2026-48694 | FastNetMon Community Edition配置注入致路由器沦陷 | |
| CVE-2026-48695 | FastNetMon ≤1.2.9 MikroTik插件命令注入漏洞 | |
| CVE-2026-48696 | FastNetMon 1.2.9及之前版本存在缓冲区溢出漏洞 | |
| CVE-2026-48697 | FastNetMon <1.2.9 TLS证书验证缺失漏洞 | |
| CVE-2026-48690 | FastNetMon整数溢出致堆损坏 |
Showing 20 of 31 CVEs. View all on vendor page →
IV. 関連脆弱性
同じベンダー: n/a
- CVE-2026-9604
JeecgBoot AiragModelController access control - CVE-2026-9581
JeecgBoot add access control - CVE-2026-9580
JeecgBoot selectDepart LoginController.selectDepart access c - CVE-2026-9579
JeecgBoot SysUser userEdit user.getUsername access control - CVE-2026-9572
GPAC MP4Box media.c Media_GetSample memory leak
同じ弱点: CWE-284
- CVE-2026-48906
Extension - tassos.gr - Arbitrary File Deletion in Novarain/ - CVE-2026-49002
Broken Access Control Vulnerabily in ZTE ZXUniPOS NDS-LTE pr - CVE-2026-41704
Compromised VM can make arbitrary blobstore deletes - CVE-2026-9604
JeecgBoot AiragModelController access control - CVE-2026-9581
JeecgBoot add access control
V. CVE-2026-9495へのコメント
まだコメントはありません