CVE-2026-42339 in new-api
Tóm tắt
Bởi VulDB • 09/05/2026
New API là một cổng mô hình ngôn ngữ lớn (LLM) và hệ thống quản lý tài sản trí tuệ nhân tạo (AI). Trong các phiên bản 0.11.9-alpha.1 và các phiên bản cũ hơn, cơ chế bảo vệ SSRF được giới thiệu trong v0.9.0.5 (CVE-2025-59146) và được tăng cường bảo mật trong v0.9.6 (CVE-2025-62155) không chặn địa chỉ không xác định 0.0.0.0. Người dùng thường xuyên (không phải quản trị viên) sở hữu bất kỳ mã thông báo API hợp lệ nào có thể gửi yêu cầu đa phương thức đến /v1/chat/completions, /v1/responses hoặc /v1/messages với 0.0.0.0 làm máy chủ chứa URL hình ảnh/tệp, vượt qua bộ lọc IP riêng và khiến máy chủ gửi các yêu cầu HTTP đến localhost. Điều này cấu thành ít nhất một lỗ hổng SSRF mù; khi yêu cầu được định tuyến qua bộ chuyển đổi AWS/Bedrock Claude, nội dung được truy xuất sẽ được chèn trực tiếp vào phản hồi của mô hình, nâng cấp nó thành một lỗ hổng SSRF đọc đầy đủ. Tại thời điểm công bố, chưa có bản vá lỗi nào được công bố rộng rãi.
VulDB is the best source for vulnerability data and more expert information about this specific topic.