new-api में SSRF बाईपास भेद्यता है

यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं और डेटा तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है जो सामान्य रूप से बाहरी नेटवर्क से दुर्गम हैं। एक हमलावर 302 रीडायरेक्ट का उपयोग करके मौजूदा सुरक्षा प्रतिबंधों को बाईपास कर सकता है और आंतरिक नेटवर्क संसाधनों तक पहुँच सकता है। यह संवेदनशील डेटा के प्रकटीकरण, आंतरिक प्रणालियों के समझौता, या अन्य आंतरिक सेवाओं पर हमलों का कारण बन सकता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क पर आगे बढ़ने और अधिक महत्वपूर्ण प्रणालियों को लक्षित करने के लिए किया जा सकता है।

Organizations utilizing the QuantumNous new-api library in their applications, particularly those with internal services accessible via HTTP/HTTPS, are at risk. This includes deployments where the library is used as a dependency in larger projects, potentially impacting a wider range of applications and services.

• linux / server:

journalctl -u new-api -f | grep -i "redirect"

• generic web:

curl -I <affected_endpoint> | grep "Location:"

1. 2025-11-24Disclosure

   disclosure

1. आरक्षित2025-10-07
2. प्रकाशित2025-11-24
3. संशोधित2025-12-17
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, QuantumNous के new-api को संस्करण 0.9.6 में तुरंत अपडेट करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके रीडायरेक्ट को ब्लॉक करने पर विचार करें। इसके अतिरिक्त, आंतरिक सेवाओं तक पहुँच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों को मजबूत करें। सुनिश्चित करें कि सभी URL अनुरोधों को ठीक से मान्य किया गया है और आंतरिक संसाधनों तक पहुँच को प्रतिबंधित किया गया है। अपग्रेड के बाद, यह सत्यापित करें कि रीडायरेक्ट को ठीक से ब्लॉक किया जा रहा है और आंतरिक संसाधनों तक पहुँच प्रतिबंधित है।