PT-2026-56211 · Go+1 · Github.Com/Quantumnous/New-Api+1
Publicado
2026-07-07
·
Atualizado
2026-07-09
·
CVE-2026-33655
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
New API versões anteriores a 0.12.0-alpha.1
Description
Existe um problema onde a configuração padrão de proteção contra Server-Side Request Forgery (SSRF) não aplica a filtragem de IP a nomes de host. Como a configuração
ApplyIPFilterForDomain vem desativada por padrão, a validação de URL verifica apenas as regras de permissão/bloqueio de domínio, mas não resolve o nome do host para validar o endereço IP resultante. Isso permite que usuários autenticados configurem URLs de notificação para Webhook, Bark ou Gotify que apontem para endereços IP internos ou de metadados, potencialmente fazendo com que o servidor envie requisições para serviços HTTP internos e exponha dados sensíveis por meio de tempo de resposta, erros ou comportamento dependente da resposta.Recommendations
Atualize para a versão 0.12.0-alpha.1.
Como medida paliativa temporária, ative explicitamente a configuração
ApplyIPFilterForDomain.
Restrinja os domínios de URL de notificação usando uma lista de permissões (allowlist).
Desative as URLs de notificação configuráveis pelo usuário onde for praticável.
Aplique a filtragem de rede de saída na camada de host ou de rede.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github.Com/Quantumnous/New-Api
New Api