New Api · New Api · CVE-2026-25591
**Nome do Software Vulnerável e Versões Afetadas**
Novas versões da API anteriores à 0.10.8-alpha.10
**Descrição**
O software é um gateway de modelo de linguagem grande (LLM) e um sistema de gerenciamento de ativos de inteligência artificial (IA). Existe um problema de injeção de curinga SQL LIKE no endpoint `/api/token/search`. Usuários autenticados podem causar uma negação de serviço através do esgotamento de recursos ao criar padrões de busca maliciosos. O endpoint de busca de token aceita parâmetros `keyword` e `token` fornecidos pelo usuário que são diretamente concatenados em cláusulas SQL LIKE sem realizar o escape dos caracteres curinga (`%`, ` `). Isso permite que atacantes injetem padrões que disparam consultas custosas ao banco de dados. O problema pode levar a picos de uso de CPU do banco de dados, esgotamento de memória da aplicação e bloqueio de solicitações de usuários legítimos. Uma prova de conceito (PoC) demonstra que o envio de uma solicitação com um padrão malicioso como `% % % % % %` pode sobrecarregar o banco de dados e tornar a aplicação indisponível. A vulnerabilidade está presente no arquivo `model/token.go:70`.
**Recomendações**
Versões anteriores à 0.10.8-alpha.10: Realize o escape dos curingas LIKE usando uma função como `escapeLike()` para lidar adequadamente com caracteres curinga nos parâmetros `keyword` e `token`.
Versões anteriores à 0.10.8-alpha.10: Implemente limitação de taxa (rate limiting) em nível de usuário para restringir o número de solicitações por usuário por minuto.
Versões anteriores à 0.10.8-alpha.10: Adicione um tempo limite de consulta (query timeout) para evitar que consultas de longa duração esgotem os recursos do banco de dados.