Quantum NousのNew APIにおける複数の脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-016441 Quantum NousのNew APIにおける複数の脆弱性 New APIは大規模言語モデル（LLM）ゲートウェイおよび人工知能（AI）資産管理システムです。バージョン0.12.10以前には、Stripeのウェブフックハンドラーに脆弱性が存在し、認証されていない攻撃者がウェブフックイベントを偽造して、支払いを行わずに任意のクォータを自分のアカウントに付与できる状態でした。この問題はバージョン0.12.10で修正されました。 cpe:/a:newapi:new_api https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-016441.html Common Vulnerabilities and Exposures (CVE) CVE-2026-41432 https://www.cve.org/CVERecord?id=CVE-2026-41432 National Vulnerability Database (NVD) CVE-2026-41432 https://nvd.nist.gov/vuln/detail/CVE-2026-41432 GitHub Stripe Webhook Signature Bypass via Empty Secret Enables Unlimited Quota Fraud Advisory QuantumNous/new-api GitHub https://github.com/QuantumNous/new-api/security/advisories/GHSA-xff3-5c9p-2mr4 JVNDB CWE-863 不正な認証 https://cwe.mitre.org/data/definitions/863.html JVNDB CWE-345 データの信頼性についての不十分な検証 https://cwe.mitre.org/data/definitions/345.html JVNDB CWE-1188 リソースの安全ではないデフォルト値への初期化 https://cwe.mitre.org/data/definitions/1188.html 関連文書 Release v0.12.10 QuantumNous/new-api GitHub https://github.com/QuantumNous/new-api/releases/tag/v0.12.10 2026-05-20T13:31:11+09:00 2026-05-20T13:31:11+09:00