Plataforma
go
Componente
github.com/quantumnous/new-api
Corrigido em
0.9.7
0.9.6
Uma vulnerabilidade de SSRF (Server-Side Request Forgery) foi descoberta no componente github.com/QuantumNous/new-api. Essa falha permite que um atacante force o servidor a fazer requisições para locais não intencionais, potencialmente expondo dados sensíveis ou permitindo acesso à rede interna. A vulnerabilidade afeta versões anteriores a 0.9.6 e foi corrigida nessa versão. A correção original pode ser contornada por redirecionamentos 302.
Um atacante explorando essa vulnerabilidade pode forçar o servidor new-api a fazer requisições para qualquer URL, incluindo recursos internos que normalmente não seriam acessíveis externamente. O redirecionamento 302 contorna a correção original, permitindo que o atacante acesse a intranet. Isso pode resultar na exposição de informações confidenciais, como credenciais de acesso, dados de configuração ou informações de clientes. Além disso, um atacante pode usar essa vulnerabilidade para realizar ataques de escalonamento de privilégios ou para comprometer outros sistemas na rede interna, dependendo da configuração e dos serviços expostos. A exploração bem-sucedida pode levar a uma violação significativa da confidencialidade, integridade e disponibilidade dos dados.
A vulnerabilidade foi publicada em 2025-11-24. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de explorações ativas. Um script de bypass foi divulgado, indicando a facilidade de exploração. A descrição da vulnerabilidade sugere um padrão de exploração similar a outros ataques SSRF que utilizam redirecionamentos para contornar restrições.
Organizations utilizing the QuantumNous new-api library in their applications, particularly those with internal services accessible via HTTP/HTTPS, are at risk. This includes deployments where the library is used as a dependency in larger projects, potentially impacting a wider range of applications and services.
• linux / server:
journalctl -u new-api -f | grep -i "redirect"• generic web:
curl -I <affected_endpoint> | grep "Location:"disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 0.9.6 do new-api, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, implemente regras de Web Application Firewall (WAF) para bloquear requisições com redirecionamentos 302. Configure o WAF para inspecionar as URLs de destino e rejeitar aquelas que apontam para recursos internos ou que contêm padrões suspeitos. Além disso, revise e reforce as políticas de segurança da rede para restringir o acesso à intranet apenas a serviços e aplicações autorizadas. Após a atualização, confirme a correção verificando se as requisições com redirecionamentos 302 são devidamente bloqueadas.
Atualize para a versão 0.9.6 ou posterior. Esta versão contém a correção para a vulnerabilidade SSRF. A atualização evitará que atacantes explorem a vulnerabilidade por meio de redirecionamentos 302 para acessar a intranet.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62155 é uma vulnerabilidade SSRF que permite a um atacante forçar o servidor new-api a fazer requisições para locais não intencionais, contornando a correção original através de redirecionamentos 302.
Sim, se você estiver utilizando uma versão do new-api anterior a 0.9.6, você está vulnerável a essa falha.
Atualize para a versão 0.9.6 do new-api. Se a atualização não for possível, implemente regras de WAF para bloquear requisições com redirecionamentos 302.
Não há informações confirmadas sobre exploração ativa, mas um script de bypass foi divulgado, indicando a facilidade de exploração.
Verifique o repositório GitHub do QuantumNous para obter informações e atualizações sobre a vulnerabilidade: https://github.com/QuantumNous/new-api
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.