new-api は SSRF バイパスの脆弱性があります

このSSRF脆弱性は、攻撃者が内部ネットワークリソースへの不正アクセスを可能にする重大なリスクをもたらします。攻撃者は、イントラネット上の機密情報（データベース、管理コンソールなど）にアクセスし、盗み出す可能性があります。さらに、この脆弱性を悪用することで、内部システムへの攻撃の足がかりを築き、横展開攻撃を実行する可能性も否定できません。特に、内部ネットワークが外部から直接アクセスできない環境において、この脆弱性は深刻な脅威となります。この脆弱性の悪用は、機密情報の漏洩、システムへの不正アクセス、さらにはサービス停止といった甚大な被害をもたらす可能性があります。

Organizations utilizing the QuantumNous new-api library in their applications, particularly those with internal services accessible via HTTP/HTTPS, are at risk. This includes deployments where the library is used as a dependency in larger projects, potentially impacting a wider range of applications and services.

• linux / server:

journalctl -u new-api -f | grep -i "redirect"

• generic web:

curl -I <affected_endpoint> | grep "Location:"

1. 2025-11-24Disclosure

   disclosure

1. 予約済み2025-10-07
2. 公開日2025-11-24
3. 更新日2025-12-17
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずgithub.com/QuantumNous/new-apiをバージョン0.9.6にアップデートすることを強く推奨します。アップデートが直ちに困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、302リダイレクトを監視・ブロックするルールを実装することを検討してください。また、内部ネットワークへのアクセスを制限するファイアウォールルールを強化し、不要なポートへのアクセスを遮断することも有効です。さらに、ログ監視を強化し、異常なリクエストパターンを検知するためのルールを導入することで、攻撃の早期発見に繋げることができます。