HIGHCVE-2025-59146CVSS 8.5

新しいAPIに認証済みサーバーサイドリクエストフォージェリ (SSRF) の問題があります

Q: CVE-2025-59146 — SSRF in New API LLM Gatewayとは何ですか？

CVE-2025-59146は、New API LLMゲートウェイのバージョン0.9.0.5以前に存在する、認証されたユーザーがサーバーサイドのリクエストを不正に送信できるSSRF脆弱性です。

Q: CVE-2025-59146 in New API LLM Gatewayに影響はありますか？

New API LLMゲートウェイのバージョンが0.9.0.5以前の場合は、影響を受けます。バージョン0.9.0.5以降にアップデートしてください。

Q: CVE-2025-59146 in New API LLM Gatewayを修正するにはどうすればよいですか？

New API LLMゲートウェイをバージョン0.9.0.5以降にアップデートすることが推奨されます。アップデートが困難な場合は、WAFの導入やURL検証の強化などの対策を検討してください。

Q: CVE-2025-59146は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性であるため、悪用される可能性はあります。

Q: CVE-2025-59146に関するNew APIの公式アドバイザリはどこで入手できますか？

New APIの公式アドバイザリは、New APIの公式ウェブサイトまたは関連するセキュリティ情報サイトで確認してください。

プラットフォーム

other

コンポーネント

new-api

修正版

0.9.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

New API LLMゲートウェイにおいて、バージョン0.9.0.5以前に認証されたユーザーが利用可能なSSRF脆弱性が確認されています。この脆弱性は、ユーザーがURLを送信してサーバーがそのコンテンツを処理する機能を悪用し、サーバーサイドのリクエストを不正に送信する可能性があります。影響を受けるバージョンは0.9.0.5以前であり、0.9.0.5へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はNew API LLMゲートウェイを介して内部ネットワークリソースへの不正アクセスを試みることができます。例えば、内部APIエンドポイントへのアクセス、機密情報の取得、さらには他のシステムへの攻撃の足がかりとして利用される可能性があります。攻撃者は、画像URLだけでなく、任意のURLを指定できるため、攻撃範囲は広範に及びます。この脆弱性は、認証されたユーザーが利用できるため、内部関係者による悪用も懸念されます。

悪用の状況

この脆弱性は2025年10月9日に公開されました。現時点では、公的なPoCは確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVリストへの登録状況は不明です。New APIの利用状況によっては、攻撃対象となり得るため、注意が必要です。

リスク対象者翻訳中…

Organizations utilizing New API for LLM gateway and AI asset management, particularly those with default user registration enabled, are at risk. Environments with limited network segmentation or exposed internal services are especially vulnerable, as an attacker could leverage the SSRF to access those resources.

検出手順翻訳中…

• linux / server: Monitor system logs (journalctl) for outbound requests to unexpected or internal IP addresses originating from the New API process. Use ss or lsof to identify connections to unusual ports or hosts.

journalctl -u new-api -f | grep -i 'request to' | grep -v 'localhost'

• generic web: Examine access logs for requests to the vulnerable endpoint with unusual or suspicious URLs. Check response headers for unexpected content or error codes.

grep -i 'new-api/vulnerable-endpoint' /var/log/apache2/access.log

攻撃タイムライン

2025-10-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnew-api

ベンダーQuantumNous

影響範囲修正版

< 0.9.0.5 – < 0.9.0.50.9.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-09
公開日2025-10-09
EPSS 更新日2026-03-23

緩和策と回避策

New API LLMゲートウェイのバージョンを0.9.0.5以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することを推奨します。また、URL検証機能を強化し、許可されたドメインのみへのアクセスを制限するなどの設定変更も有効です。New APIの構成設定を見直し、不要な機能やアクセス権限を削除することもリスク軽減に繋がります。

修正方法

バージョン 0.9.0.5 以降にアップデートしてください。直ちにアップデートできない場合は、new-api 画像処理ワーカー (new-api-worker) を有効にし、および/または SSRF 脆弱性を軽減するために、出力ファイアウォールルールを設定してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59146 — SSRF in New API LLM Gatewayとは何ですか？