Plataforma
other
Componente
new-api
Corrigido em
0.9.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no New API, um gateway para modelos de linguagem grandes (LLM) e sistema de gerenciamento de ativos de inteligência artificial (IA). Essa falha, presente em versões anteriores a 0.9.0.5, permite que usuários autenticados explorem um recurso que processa URLs fornecidas pelo usuário. A falta de validação adequada da URL pode levar a requisições não autorizadas, comprometendo a segurança do sistema. A correção foi disponibilizada na versão 0.9.0.5.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante autenticado force o servidor New API a fazer requisições a qualquer URL, interna ou externa. Isso pode resultar na exposição de dados confidenciais acessíveis através do servidor, como informações de configuração, credenciais de API ou dados de outros serviços internos. Além disso, um atacante pode usar essa vulnerabilidade para realizar varreduras de portas internas, acessar recursos protegidos por firewalls ou até mesmo comprometer outros sistemas na rede interna. O impacto potencial é significativo, especialmente em ambientes onde o New API interage com outros serviços sensíveis.
A vulnerabilidade foi divulgada em 2025-10-09. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade SSRF e a necessidade de autenticação para exploração. É recomendado monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations utilizing New API for LLM gateway and AI asset management, particularly those with default user registration enabled, are at risk. Environments with limited network segmentation or exposed internal services are especially vulnerable, as an attacker could leverage the SSRF to access those resources.
• linux / server: Monitor system logs (journalctl) for outbound requests to unexpected or internal IP addresses originating from the New API process. Use ss or lsof to identify connections to unusual ports or hosts.
journalctl -u new-api -f | grep -i 'request to' | grep -v 'localhost'• generic web: Examine access logs for requests to the vulnerable endpoint with unusual or suspicious URLs. Check response headers for unexpected content or error codes.
grep -i 'new-api/vulnerable-endpoint' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 0.9.0.5 do New API. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de segurança adicionais. Implemente regras de firewall para restringir o acesso à rede externa a partir do servidor New API. Monitore os logs do servidor em busca de requisições suspeitas ou incomuns. Utilize um Web Application Firewall (WAF) para filtrar requisições maliciosas. Após a atualização, confirme a correção verificando se o recurso que processa URLs agora valida adequadamente as entradas do usuário.
Atualize para a versão 0.9.0.5 ou posterior. Se não puder atualizar imediatamente, habilite o processador de imagens new-api (new-api-worker) e/ou configure regras de firewall de saída para mitigar a vulnerabilidade SSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Server-Side Request Forgery (SSRF) no New API, permitindo que usuários autenticados forcem o servidor a fazer requisições a URLs arbitrárias, potencialmente expondo dados sensíveis. A versão afetada é anterior a 0.9.0.5.
Sim, se você estiver utilizando uma versão do New API anterior a 0.9.0.5, você está vulnerável a esta SSRF. Verifique a versão instalada e atualize o mais rápido possível.
A correção é a atualização para a versão 0.9.0.5. Se a atualização imediata não for possível, implemente medidas de mitigação como regras de firewall e monitoramento de logs.
Atualmente, não há informações sobre exploração ativa. No entanto, a vulnerabilidade é considerada de risco médio e é recomendado monitorar as fontes de inteligência de ameaças.
Consulte a documentação oficial do New API ou o site do fornecedor para obter o advisory de segurança relacionado ao CVE-2025-59146.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.