Plateforme
other
Composant
new-api
Corrigé dans
0.9.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans New API, une passerelle pour modèles de langage large (LLM) et système de gestion d'actifs d'intelligence artificielle (IA). Cette faille permet à un utilisateur authentifié d'initier des requêtes serveur non autorisées en manipulant une URL soumise à l'application. Les versions concernées sont celles antérieures à 0.9.0.5. La correction est disponible dans la version 0.9.0.5.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'effectuer des requêtes vers des ressources internes ou externes auxquelles l'application aurait normalement un accès limité. Cela pourrait inclure l'accès à des données sensibles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes connectés ou même l'accès à des services cloud. L'attaquant peut potentiellement lire des fichiers de configuration, interagir avec des API internes, ou même tenter de compromettre d'autres systèmes en utilisant New API comme pivot. Le risque est amplifié par le fait que l'inscription des utilisateurs est souvent activée par défaut, facilitant l'obtention d'une authentification.
La vulnérabilité est publique depuis le 2025-10-09. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation. La gravité est considérée comme élevée en raison du potentiel d'accès non autorisé à des ressources sensibles.
Organizations utilizing New API for LLM gateway and AI asset management, particularly those with default user registration enabled, are at risk. Environments with limited network segmentation or exposed internal services are especially vulnerable, as an attacker could leverage the SSRF to access those resources.
• linux / server: Monitor system logs (journalctl) for outbound requests to unexpected or internal IP addresses originating from the New API process. Use ss or lsof to identify connections to unusual ports or hosts.
journalctl -u new-api -f | grep -i 'request to' | grep -v 'localhost'• generic web: Examine access logs for requests to the vulnerable endpoint with unusual or suspicious URLs. Check response headers for unexpected content or error codes.
grep -i 'new-api/vulnerable-endpoint' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour New API vers la version 0.9.0.5, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter une validation stricte des URL soumises par les utilisateurs. Cela peut être réalisé en utilisant une liste blanche d'URL autorisées ou en bloquant les URL qui pointent vers des domaines internes ou des protocoles non autorisés. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'exploitation de la vulnérabilité.
Mettez à jour vers la version 0.9.0.5 ou ultérieure. Si vous ne pouvez pas mettre à jour immédiatement, activez le processeur d'images new-api (new-api-worker) et/ou configurez des règles de pare-feu de sortie pour atténuer la vulnérabilité SSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59146 décrit une vulnérabilité SSRF dans New API, une passerelle LLM, permettant à un utilisateur authentifié d'initier des requêtes serveur non autorisées. La version affectée est ≤ 0.9.0.5.
Oui, vous êtes affecté si vous utilisez New API dans une version antérieure à 0.9.0.5. Vérifiez votre version et mettez à jour dès que possible.
La solution est de mettre à jour New API vers la version 0.9.0.5. En attendant, implémentez une validation stricte des URL.
À ce jour, il n'y a aucune indication d'exploitation active, mais le risque existe en raison de la nature publique de la vulnérabilité.
Consultez la documentation officielle de New API et les canaux de communication de l'équipe de développement pour obtenir l'avis officiel concernant CVE-2025-59146.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.