JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-016424 新しいAPIは大規模言語モデル（LLM）ゲートウェイおよび人工知能（AI）資産管理システムです。バージョン0.11.9-alpha.1以前では、v0.9.0.5で導入され、v0.9.6で強化されたSSRF保護が未特定アドレス0.0.0.0をブロックしませんでした。管理者権限のない通常ユーザーは、有効なAPIトークンを保持していれば、画像やファイルのURLホストに0.0.0.0を指定して特定のエンドポイントにマルチモーダルリクエストを送信でき、それによってプライベートIPフィルターを回避し、サーバーがlocalhostへのHTTPリクエストを実行してしまいます。これは最低でもブラインドSSRFとみなされます。リクエストがAWS/Bedrockのアダプターを通る場合、取得したコンテンツがモデルの応答にインラインで挿入されるため、完全な読み取りSSRFにつながります。公開時点で修正パッチは存在していません。 cpe:/a:newapi:new_api https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-016424.html Common Vulnerabilities and Exposures (CVE) CVE-2026-42339 https://www.cve.org/CVERecord?id=CVE-2026-42339 National Vulnerability Database (NVD) CVE-2026-42339 https://nvd.nist.gov/vuln/detail/CVE-2026-42339 GitHub SSRF Filter Bypass via 0.0.0.0 Advisory QuantumNous/new-api GitHub https://github.com/QuantumNous/new-api/security/advisories/GHSA-v5c3-6wvc-pc2q JVNDB CWE-918 https://cwe.mitre.org/data/definitions/918.html 2026-05-20T13:30:22+09:00 2026-05-20T13:30:22+09:00