CVE-2025-59146

Nome do Software Vulnerável e Versões Afetadas Versões do New API anteriores à 0.9.0.5

Descrição O New API é um gateway de modelos de linguagem de grande porte (LLM) e um sistema de gerenciamento de ativos de inteligência artificial (IA). Existe uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) autenticada, pois a aplicação não valida corretamente as URLs fornecidas pelo usuário antes de realizar requisições do lado do servidor. Isso permite que usuários autenticados enviem uma URL para um endpoint vulnerável, potencialmente forçando o servidor a enviar requisições para serviços internos ou externos arbitrários. A Falsificação de Solicitação do Lado do Servidor (SSRF) ocorre quando uma aplicação faz requisições para um local não pretendido. A vulnerabilidade não se limita a URLs de imagens e pode ser disparada com qualquer link fornecido ao endpoint vulnerável.

Recomendações Atualize para a versão 0.9.0.5 ou posterior para se beneficiar do novo módulo de proteção SSRF configurável pelo usuário. Como solução temporária, habilite o worker de processamento de imagem do new-api (new-api-worker). Como solução temporária, configure regras de firewall de egresso.