1  info:
 2    name: new-api
 3    cve: CVE-2026-32879
 4    summary: New API Passkey 二次验证绕过漏洞 - 可泄露 Root 级渠道密钥
 5    details: >-
 6      New API LLM 网关 v0.10.0 起引入的通用安全二次验证（Secure Verification）流程存在逻辑缺陷。
 7      已认证的用户若注册了 Passkey，可在不完成 WebAuthn 断言挑战的情况下通过二次验证，
 8      从而访问原本仅限 Root 用户的特权操作，包括查看渠道密钥（上游 AI 提供商的 API Key）。
 9      漏洞导致攻击者只需拥有有效账户及任意 Passkey，即可窃取所有已配置渠道的 API 密钥。
10      截至披露时，尚无修复版本发布，影响所有启用 Passkey 认证的部署实例。
11    cvss: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
12    severity: MEDIUM
13    security_advise: >-
14      在修复版本发布前，禁用 Passkey 作为特权操作的二次验证方式。
15      同时监控渠道密钥的异常访问记录，及时轮换可能已泄露的上游 API Key。
16    references:
17      - https://github.com/QuantumNous/new-api/security/advisories/GHSA-5353-f8fq-65vc
18      - https://github.com/advisories/GHSA-5353-f8fq-65vc
19  rule: version >= "0.10.0"
20  references:
21    - https://github.com/QuantumNous/new-api/security/advisories/GHSA-5353-f8fq-65vc