江蘇
關鍵詞
漏洞
經營 API 中轉站業務的站長請注意:New-API 項目日前出現高危漏洞,借助漏洞可以偽造任意金額充值,使用該項目搭建的 API 中轉站應當立即升級到最新版。
新版本已經調整 Stripe 異步支付事件和 Webhook 驗簽邏輯,升級到新版本后增加顯式判斷,如果沒有配置 Stripe 簽名密鑰,則嘗試發起支付時會直接返回 403 并終止處理。
漏洞描述如下 (根據代碼變更推測):
在啟用 Stripe 充值并且 Webhook 路由可以被外部訪問的情況下,原本 Webhook 應該靠 StripeWebhookSecret 校驗簽名,但如果 secret 為空,舊代碼仍然會嘗試進行驗簽,正常情況下應該直接拒絕驗簽。
這意味著簽名校驗的安全邊界失效,最壞的情況下攻擊者可以偽造 Stripe 支付事件,讓系統誤以為已經成功支付并計入余額。
Stripe Webhook 的核心作用在于讓平臺在用戶完成付款、付款失敗或者異步支付到賬時,自動接受 Stripe 發送的事件通知并完成后續操作,這些通知必須依賴 Stripe 簽名與服務端保存的簽名密鑰完成驗簽,確保請求確實來自 Stripe 而不是偽造流量。
新版本封堵相關缺陷:
在最新發布的 New-API v0.12.10 版中,開發者已經將這個缺陷修復,在開啟 Stripe 支付但并未配置密鑰時,系統會直接返回 403 來終止處理。
對使用 New-API 的項目來說當前需要立即升級到最新版本,同時檢查 Webhook 是否存在暴露的情況,如有需要還應當檢查近期的支付訂單是否存在異常。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
