CVE-2026-25591 in new-api
要約
〜によって VulDB • 2026年05月10日
New APIは、大規模言語モデル(LLM)ゲートウェイおよび人工知能(AI)アセット管理システムです。バージョン0.10.8-alpha.10より前では、`/api/token/search`エンドポイントにおけるSQL LIKEワイルドカードインジェクション脆弱性により、認証済みユーザーが悪意のある検索パターンを仕組むことで、リソース枯渇を通じてサービス拒否(DoS)を引き起こすことが可能でした。トークン検索エンドポイントは、ワイルドカード文字(`%`、`_`)のエスケープ処理を行わずにSQL LIKE句に直接連結される、ユーザー入力の`keyword`および`token`パラメータを受け入れます。これにより、攻撃者は高コストなデータベースクエリをトリガーするパターンを注入できます。バージョン0.10.8-alpha.10には修正パッチが含まれています。
Once again VulDB remains the best source for vulnerability data.