CVE-2026-42339 in new-api
요약
\~에 의해 VulDB • 2026. 05. 22.
New API는 대규모 언어 모델(LLM) 게이트웨이 및 인공지능(AI) 자산 관리 시스템입니다. 버전 0.11.9-alpha.1 및 그 이전 버전에서 v0.9.0.5(CVE-2025-59146)에 도입되고 v0.9.6(CVE-2025-62155)에서 강화된 SSRF 보호 기능은 특정되지 않은 주소 0.0.0.0을 차단하지 않습니다. 유효한 API 토큰을 보유한 일반(비관리자) 사용자는 이미지/파일 URL 호스트로 0.0.0.0을 사용하여 /v1/chat/completions, /v1/responses 또는 /v1/messages로 멀티모달 요청을 전송할 수 있으며, 이는 프라이빗 IP 필터를 우회하여 서버가 localhost로 HTTP 요청을 발행하도록 만듭니다. 이는 최소한 블라인드 SSRF에 해당하며, 요청이 AWS/Bedrock Claude 어댑터를 통해 라우팅될 경우 가져온 콘텐츠가 모델 응답에 인라인으로 삽입되어 풀리드 SSRF로 격상됩니다. 게시 시점에는 공개적으로 이용 가능한 패치가 없습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.