CVE-2026-11465— One API 安全漏洞
可能的 ATT&CK 技术 1AI
T1190 · Exploit Public-Facing Application影响版本矩阵 8
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| songquanpeng | one-api | 0.6.11-preview.0 | affected |
0.6.11-preview.1 | affected | ||
0.6.11-preview.2 | affected | ||
0.6.11-preview.3 | affected | ||
0.6.11-preview.4 | affected | ||
0.6.11-preview.5 | affected | ||
0.6.11-preview.6 | affected | ||
0.6.11-preview.7 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-11465 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
songquanpeng one-api Redemption Code Top-Up Endpoint redemption.go Redeem logic error
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
A security flaw has been discovered in songquanpeng one-api up to 0.6.11-preview.7. Affected by this issue is the function Redeem of the file model/redemption.go of the component Redemption Code Top-Up Endpoint. The manipulation results in business logic errors. The attack may be launched remotely. The attack requires a high level of complexity. The exploitation is known to be difficult. The exploit has been released to the public and may be used for attacks. The pull request to fix this issue awaits acceptance.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
业务逻辑错误
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
One API 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
One API是JustSong个人开发者的一个LLM API管理和分发系统。 One API 0.6.11-preview.7及之前版本存在安全漏洞,该漏洞源于Redemption Code Top-Up Endpoint组件中文件model/redemption.go的函数Redeem问题,可能导致业务逻辑错误。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| songquanpeng | one-api | 0.6.11-preview.0 | cpe:2.3:a:songquanpeng:one-api:*:*:*:*:*:*:*:* |
二、漏洞 CVE-2026-11465 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-11465 的情报信息
请登录查看更多情报信息。
CVE-2026-11465 补丁与修复 (1)
CVE-2026-11465 概念验证 (1)
CVE-2026-11465 其他参考 (1)
- 🔗 GitHub - songquanpeng/one-api: LLM API 管理 & 分发系统,支持 OpenAI、Azure、Anthropic Claude、Google Gemini、DeepSeek、字节豆包、ChatGLM、文心一言、讯飞星火、通义千问、360 智脑、腾讯混元等主流模型,统一 API 适配,可用于 key 管理与二次分发。单可执行文件,提供 Docker 镜像,一键部署,开箱即用。LLM API management & key redistribution system, unifying multiple providers under a single API. Single binary, Docker-ready, with an English UI. · GitHub 查看完整文章 product
IV. Related Vulnerabilities
Same product: one-api
Same vendor: songquanpeng
V. Comments for CVE-2026-11465
暂无评论