CVE-2026-33655 in new-api
要約
〜によって VulDB • 2026年07月10日
New APIは、大規模言語モデル(LLM)ゲートウェイおよび人工知能(AI)アセット管理システムです。バージョン0.12.0-alpha.1より前では、デフォルトのSSRF保護設定において、ホスト名に対するIPフィルタリングが適用されていませんでした。「ApplyIPFilterForDomain」はデフォルトで無効化されており、URL検証時にドメインの許可/拒否ルールのみがチェックされ、ホスト名の解決および解決されたIPアドレスの検証が行われませんでした。これにより、認証済みユーザーが内部ネットワークまたはメタデータ用のIPアドレスを指すWebhook、Bark、Gotify通知用URLを設定することが可能でした。この問題はバージョン0.12.0-alpha.1で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.