PT-2026-56211 · Go+1 · Github.Com/Quantumnous/New-Api+1

Publicado

2026-07-07

·

Atualizado

2026-07-09

·

CVE-2026-33655

CVSS v3.1

7.7

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas New API versões anteriores a 0.12.0-alpha.1
Description Existe um problema onde a configuração padrão de proteção contra Server-Side Request Forgery (SSRF) não aplica a filtragem de IP a nomes de host. Como a configuração ApplyIPFilterForDomain vem desativada por padrão, a validação de URL verifica apenas as regras de permissão/bloqueio de domínio, mas não resolve o nome do host para validar o endereço IP resultante. Isso permite que usuários autenticados configurem URLs de notificação para Webhook, Bark ou Gotify que apontem para endereços IP internos ou de metadados, potencialmente fazendo com que o servidor envie requisições para serviços HTTP internos e exponha dados sensíveis por meio de tempo de resposta, erros ou comportamento dependente da resposta.
Recommendations Atualize para a versão 0.12.0-alpha.1. Como medida paliativa temporária, ative explicitamente a configuração ApplyIPFilterForDomain. Restrinja os domínios de URL de notificação usando uma lista de permissões (allowlist). Desative as URLs de notificação configuráveis pelo usuário onde for praticável. Aplique a filtragem de rede de saída na camada de host ou de rede.

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-33655
GHSA-6QCR-QXGR-M7FV

Produtos afetados

Github.Com/Quantumnous/New-Api
New Api