关键词
漏洞
经营 API 中转站业务的站长请注意:New-API 项目日前出现高危漏洞,借助漏洞可以伪造任意金额充值,使用该项目搭建的 API 中转站应当立即升级到最新版。
新版本已经调整 Stripe 异步支付事件和 Webhook 验签逻辑,升级到新版本后增加显式判断,如果没有配置 Stripe 签名密钥,则尝试发起支付时会直接返回 403 并终止处理。
漏洞描述如下 (根据代码变更推测):
在启用 Stripe 充值并且 Webhook 路由可以被外部访问的情况下,原本 Webhook 应该靠 StripeWebhookSecret 校验签名,但如果 secret 为空,旧代码仍然会尝试进行验签,正常情况下应该直接拒绝验签。
这意味着签名校验的安全边界失效,最坏的情况下攻击者可以伪造 Stripe 支付事件,让系统误以为已经成功支付并计入余额。
Stripe Webhook 的核心作用在于让平台在用户完成付款、付款失败或者异步支付到账时,自动接受 Stripe 发送的事件通知并完成后续操作,这些通知必须依赖 Stripe 签名与服务端保存的签名密钥完成验签,确保请求确实来自 Stripe 而不是伪造流量。
新版本封堵相关缺陷:
在最新发布的 New-API v0.12.10 版中,开发者已经将这个缺陷修复,在开启 Stripe 支付但并未配置密钥时,系统会直接返回 403 来终止处理。
对使用 New-API 的项目来说当前需要立即升级到最新版本,同时检查 Webhook 是否存在暴露的情况,如有需要还应当检查近期的支付订单是否存在异常。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴