Новый API — это шлюз большого языкового режима (LLM) и система управления активами искусственного интеллекта (AI). До версии 0.11.4-alpha.2 уязвимость небезопасной прямой ссылки на объект (IDOR) в конечной точке видеопрокси (`GET /v1/videos/:task_id/content`) позволяла любому аутентифицированному пользователю получать доступ к видеоконтенту, принадлежащему другим пользователям, и заставляла сервер аутентифицироваться у вышестоящих поставщиков ИИ (Google Gemini, OpenAI), используя учетные данные, полученные из задач, которыми они не владеют. Отсутствующая проверка авторизации представляет собой один вызов функции — model.GetByOnlyTaskId(taskID) запрашивает только Task_id без фильтра user_id, в то время как каждый другой поиск задачи в кодовой базе обеспечивает право собственности через model.GetByTaskId(userId, TaskID)».
Версия 0.11.4-альфа.2 содержит патч.
Показать оригинальное описание (EN)
New API is a large language mode (LLM) gateway and artificial intelligence (AI) asset management system. Prior to version 0.11.4-alpha.2, an Insecure Direct Object Reference (IDOR) vulnerability in the video proxy endpoint (`GET /v1/videos/:task_id/content`) allows any authenticated user to access video content belonging to other users and causes the server to authenticate to upstream AI providers (Google Gemini, OpenAI) using credentials derived from tasks they do not own. The missing authorization check is a single function call — `model.GetByOnlyTaskId(taskID)` queries by `task_id` alone with no `user_id` filter, while every other task-lookup in the codebase enforces ownership via `model.GetByTaskId(userId, taskID)`. Version 0.11.4-alpha.2 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Newapi New_Api
cpe:2.3:a:newapi:new_api:*:*:*:*:*:*:*:*
|
— |
0.11.4
|
|
Newapi New_Api
cpe:2.3:a:newapi:new_api:0.11.4:alpha1:*:*:*:*:*:*
|
— | — |