CVE-2025-62155 描述了 QuantumNous new-api 中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过 302 重定向绕过现有的安全修复,从而访问内部网络资源。该漏洞影响 QuantumNous new-api 0.9.5 及更早版本。建议升级至 0.9.6 版本以解决此问题。
攻击者可以利用此 SSRF 漏洞访问内部网络服务,这些服务通常对外部网络不可见。通过构造恶意的 302 重定向,攻击者可以绕过现有的安全限制,并访问敏感数据或执行未经授权的操作。例如,攻击者可能能够读取内部数据库、访问内部 API 或控制内部系统。这种漏洞的潜在影响包括数据泄露、系统入侵和业务中断。由于该漏洞可以绕过现有的安全措施,因此其风险较高。
目前没有公开的漏洞利用代码,但该漏洞的描述表明存在绕过修复的方法。该漏洞已于 2025 年 11 月 24 日公开。由于存在绕过修复的可能,该漏洞的利用概率被认为是中等水平。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations utilizing the QuantumNous new-api library in their applications, particularly those with internal services accessible via HTTP/HTTPS, are at risk. This includes deployments where the library is used as a dependency in larger projects, potentially impacting a wider range of applications and services.
• linux / server:
journalctl -u new-api -f | grep -i "redirect"• generic web:
curl -I <affected_endpoint> | grep "Location:"disclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级至 QuantumNous new-api 0.9.6 版本,该版本修复了此 SSRF 漏洞。如果无法立即升级,可以考虑以下临时缓解措施:在反向代理或 Web 应用防火墙 (WAF) 中实施严格的 URL 验证规则,以阻止包含恶意重定向的请求。此外,限制应用程序对内部网络的访问权限,并禁用不必要的内部服务。监控应用程序日志,以检测可疑的 SSRF 尝试。
升级到 0.9.6 或更高版本。此版本包含 SSRF 漏洞的修复。升级将防止攻击者通过 302 重定向来访问内网来利用此漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62155 是 QuantumNous new-api 中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 302 重定向绕过安全修复,访问内部网络。
如果您正在使用 QuantumNous new-api 0.9.5 或更早版本,则您可能受到此漏洞的影响。请尽快升级至 0.9.6 版本。
升级至 QuantumNous new-api 0.9.6 版本是修复此漏洞的最佳方法。如果无法立即升级,请实施 WAF 规则和 URL 验证。
目前没有公开的漏洞利用代码,但由于存在绕过修复的可能,该漏洞的利用概率被认为是中等水平。
请查阅 QuantumNous 的官方安全公告,以获取有关此漏洞的更多信息和修复指南。
上传你的 go.mod 文件,立即知道是否受影响。