Vulnerabilidad en new-api de QuantumNous (CVE-2026-25591)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2026
Última modificación:
03/03/2026
Descripción
La nueva API es un portal de modo de lenguaje grande (LLM) y un sistema de gestión de activos de inteligencia artificial (IA). Antes de la versión 0.10.8-alpha.10, una vulnerabilidad de inyección de comodines SQL LIKE en el endpoint '/api/token/search' permite a usuarios autenticados causar denegación de servicio a través del agotamiento de recursos al crear patrones de búsqueda maliciosos. El endpoint de búsqueda de tokens acepta parámetros 'keyword' y 'token' suministrados por el usuario que se concatenan directamente en cláusulas SQL LIKE sin escapar caracteres comodín ('%', '_'). Esto permite a los atacantes inyectar patrones que desencadenan consultas costosas a la base de datos. La versión 0.10.8-alpha.10 contiene un parche.
Impacto
Puntuación base 4.0
7.10
Gravedad 4.0
ALTA
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:newapi:new_api:*:*:*:*:*:*:*:* | 0.10.8 (excluyendo) | |
| cpe:2.3:a:newapi:new_api:0.10.8:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha3:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha4:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha5:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha6:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha7:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha8:*:*:*:*:*:* | ||
| cpe:2.3:a:newapi:new_api:0.10.8:alpha9:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página