user792 楼主
newapi目前有个漏洞, 在没有配置stripe秘钥的情况下
发起支付后可以充值修改任意金额并充值成功
建议尽快核查
最新版本已修复: Release v0.12.10 · QuantumNous/new-api · GitHub
24
10
9
3
1
我去
可以可以
啊
woc,太可怕了
完啦!
前排支持TOPIC OWNER
newapi充值漏洞
开发调优网络安全
在模态框中查看主贴与评论的删除、修改和新增情况。
版本差异比较
按时间正序展示主贴与评论变化。
选择一个版本后加载差异。
2410931我去可以可以啊woc,太可怕了完啦!前排支持32楼层
31回复
27用户
treehappy
这是ai发现的吗,太夸张了,安全岌岌可危的感觉
2JackyLiii
蛙趣!这要是不赶紧修复,富可敌国真要变成负氪低锅了
5Qiner
刚在另一个帖子看到视频,这就有答案了,牛逼
HongQuan
那不得有一堆站沦陷,不来 L 站玩的都得吃大亏
shiki
空值不校验真是太逆天了,另外后台应该有支付方式是否启用的开关吧?
wawu
这但凡哪个中转今天敢跑去睡大觉,起来直接变成亿万负翁
Tink ↶ @TheShuo
github 上都传开了,还担心这个。。
dreamya
这要校验的吧,必须支付之后才行,就直接改参数调有点可怕
proc
这种安全漏洞,理论上不应该这么快就披露吧?
漏洞不会披露 但是薅羊毛会呀
unsafe
Dyna
谢谢分享,
总结
现在就去让AI写脚本去扫描。
cattie
在生产环境下居然用空的secret嘛…那很不安全了 w
不过猫猫觉得这个应该不算bug,算配置问题 w
(硬要说的话,至少配置时应该拦截一下空secret的 w
1
Mxucc
配置 stripe 秘钥的情况下是不是就不会出现这个 bug 了
bluesee
吓人吓人,这那些充值非公益的估计要蹬飞了吧
cattie ↶ @tpu01yzx
1个回复 ⌃
tpu01yzx
刚又认真看了一遍,确实有的。
Improvements
- Improved Stripe payment processing to better handle asynchronous webhook events, making delayed payment confirmations more reliable.
xvshell
好像上个月在wx群看到过,有人在newapi充值了几千万,当时还奇怪怎么破解的
现在能看懂了
原来已经是旧闻了啊
这么早吗???
上个月?现在才修,细思极恐啊
我去,这金额太夸张了
daxiong
吓得一激灵,赶紧把自部署的 newapi更新到最新版。
OnlyAIGC ↶ @TheShuo
哈哈,这里不是首发.好像昨晚就出来了.
qq群微信群都传疯了,现在才在L站看到.
1个回复 ⌃
TheShuo
具中转站站长说,半个月前就有用这个漏洞偷偷充值的了,今天有个站长发现有人给自己充了99999元,结果钱没到账 
1
liaowen
空 secret 没签名挺正常的吧,只能算配置问题
TheShuo ↶ @OnlyAIGC
具中转站站长说,半个月前就有用这个漏洞偷偷充值的了,今天有个站长发现有人给自己充了99999元,结果钱没到账
11个回复 ⌃
tpu01yzx
所以很多中转站都不开通充值功能,,再另外一个渠道卖兑换码。
ye4241
额,我让 AI 直接分析老版本的代码逻辑,他把攻击 js 脚本直接帮我写好了。。。
一运行,真的能用。。。
@ByteBender 佬,快去更新下你的公益站。。。
我把公益站都瞅了瞅,除了没开充值功能的,全部沦陷了。。。
111个回复 ⌃
tpu01yzx ↶ @TheShuo
所以很多中转站都不开通充值功能,,再另外一个渠道卖兑换码。
Afking
回调竟然会没有判断密钥是非为空,有点离谱
YES123
空值不校验真是太逆天了,起来直接变成亿万负翁,只能回滚数据库了
airbounce
之前有人说有提权漏洞,用claude扫了一遍发现了金额校验漏洞
CalaseLin
这个是只要充值就会有的漏洞?不管是易支付还是stripe或者creem?
ye4241 ↶ @ByteBender
被在线抓包了,哈哈哈,主要是您的公益站太用了。