Plateforme
go
Composant
github.com/quantumnous/new-api
Corrigé dans
0.9.7
0.9.6
La vulnérabilité CVE-2025-62155 est une faille de type SSRF (Server-Side Request Forgery) découverte dans la bibliothèque github.com/QuantumNous/new-api. Cette faille permet à un attaquant de contourner la correction de sécurité existante en utilisant un redirect 302, lui permettant d'accéder à des ressources internes, potentiellement sensibles. Elle affecte les versions antérieures à 0.9.6 et une mise à jour vers cette version est nécessaire pour corriger le problème.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder à des ressources internes qui ne devraient pas être accessibles depuis l'extérieur. En exploitant le redirect 302, l'attaquant peut contourner les restrictions initiales et interroger des services internes, lire des fichiers sensibles, ou même exécuter des actions en tant que le serveur. Cette vulnérabilité pourrait permettre une reconnaissance approfondie du réseau interne, la collecte d'informations confidentielles, et potentiellement servir de tremplin pour d'autres attaques, comme l'accès à des bases de données ou des systèmes de contrôle industriel. Le contournement de la correction initiale rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2025-62155 a été publiée le 24 novembre 2025. Un script d'exploitation simple a été fourni dans la description de la CVE, ce qui indique une probabilité d'exploitation élevée (EPSS score probablement élevé). Il n'y a pas d'indication d'une inclusion dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La simplicité du contournement de la correction initiale suggère que cette vulnérabilité pourrait être rapidement exploitée à grande échelle.
Organizations utilizing the QuantumNous new-api library in their applications, particularly those with internal services accessible via HTTP/HTTPS, are at risk. This includes deployments where the library is used as a dependency in larger projects, potentially impacting a wider range of applications and services.
• linux / server:
journalctl -u new-api -f | grep -i "redirect"• generic web:
curl -I <affected_endpoint> | grep "Location:"disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque github.com/QuantumNous/new-api vers la version 0.9.6 ou supérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à implémenter un WAF (Web Application Firewall) capable de bloquer les requêtes contenant des redirects 302 vers des adresses internes. Il est également recommandé de renforcer la configuration du serveur pour limiter l'accès aux ressources internes et de surveiller les logs pour détecter des tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'absence de redirection 302 vers des adresses internes en effectuant des tests de pénétration.
Mettez à jour vers la version 0.9.6 ou ultérieure. Cette version contient la correction pour la vulnérabilité SSRF. La mise à jour empêchera les attaquants d'exploiter la vulnérabilité par le biais de redirections 302 pour accéder à l'intranet.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62155 est une vulnérabilité SSRF dans la bibliothèque github.com/QuantumNous/new-api, permettant un contournement de la correction initiale via un redirect 302 pour accéder à l'intranet.
Vous êtes affecté si vous utilisez une version de github.com/QuantumNous/new-api antérieure à 0.9.6 et que votre application permet l'envoi de requêtes HTTP.
Mettez à jour la bibliothèque github.com/QuantumNous/new-api vers la version 0.9.6 ou supérieure. En attendant, implémentez un WAF pour bloquer les redirects 302.
Bien qu'il n'y ait pas de confirmation d'exploitation active, la simplicité du contournement de la correction initiale suggère une probabilité d'exploitation élevée.
Consultez le dépôt github.com/QuantumNous/new-api pour les notes de version et les informations de sécurité relatives à CVE-2025-62155.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.