漏洞总结:9Router 管理 API 端点认证缺失 1. 漏洞概述 漏洞名称: Missing Authentication on Administrative API Endpoints Leads to Full System Compromise in 9Router (#431) 漏洞类型: 关键访问控制漏洞 (Critical Broken Access Control) 根本原因: 中间件配置错误,仅对 路由强制执行认证,导致多个敏感的 端点缺乏服务器端认证和授权检查。 CVSS评分: 9.8 (Critical) 攻击向量: 远程、未授权 (Remote, unauthenticated) 2. 影响范围 未授权攻击者可利用此漏洞直接访问管理API端点,执行以下操作: 导出完整的应用数据库。 导入或覆盖数据库内容。 列出和生成API密钥。 检索提供商凭据和密钥。 修改应用程序设置。 触发服务器端请求伪造 (SSRF)。 远程关闭服务器。 受影响组件: 3. 修复方案 在所有 端点上强制执行认证和授权检查。 不要仅依赖基于中间件的路由匹配来定义安全边界。 为所有敏感操作实施集中式认证验证。 应用最小权限原则。 清理和限制出站请求以缓解SSRF。 移除或安全化(如添加认证)管理端点(如shutdown)。 轮换所有暴露的密钥和API密钥。 4. 相关代码 (Root Cause)