user792 楼主
newapi目前有个漏洞, 在没有配置stripe秘钥的情况下
发起支付后可以充值修改任意金额并充值成功
建议尽快核查
最新版本已修复: Release v0.12.10 · QuantumNous/new-api · GitHub
16
8
6
1
我去
可以可以
啊
woc,太可怕了
完啦!
前排支持TOPIC OWNER
newapi充值漏洞
开发调优网络安全
你正在查看历史版本 v1。返回最新版本
在模态框中查看主贴与评论的删除、修改和新增情况。
版本差异比较
按时间正序展示主贴与评论变化。
选择一个版本后加载差异。
16861我去可以可以啊woc,太可怕了完啦!前排支持21楼层
20回复
20用户
treehappy
这是ai发现的吗,太夸张了,安全岌岌可危的感觉
2JackyLiii
蛙趣!这要是不赶紧修复,富可敌国真要变成负氪低锅了
5Qiner
刚在另一个帖子看到视频,这就有答案了,牛逼
HongQuan
那不得有一堆站沦陷,不来 L 站玩的都得吃大亏
shiki
空值不校验真是太逆天了,另外后台应该有支付方式是否启用的开关吧?
wawu
这但凡哪个中转今天敢跑去睡大觉,起来直接变成亿万负翁
Tink ↶ @TheShuo
github 上都传开了,还担心这个。。
dreamya
这要校验的吧,必须支付之后才行,就直接改参数调有点可怕
proc
这种安全漏洞,理论上不应该这么快就披露吧?
漏洞不会披露 但是薅羊毛会呀
unsafe
Dyna
谢谢分享,
总结
现在就去让AI写脚本去扫描。
cattie
在生产环境下居然用空的secret嘛…那很不安全了 w
不过猫猫觉得这个应该不算bug,算配置问题 w
(硬要说的话,至少配置时应该拦截一下空secret的 w
1
Mxucc
配置 stripe 秘钥的情况下是不是就不会出现这个 bug 了
bluesee
吓人吓人,这那些充值非公益的估计要蹬飞了吧
xvshell
好像上个月在wx群看到过,有人在newapi充值了几千万,当时还奇怪怎么破解的
现在能看懂了
原来已经是旧闻了啊
这么早吗???
上个月?现在才修,细思极恐啊
daxiong
吓得一激灵,赶紧把自部署的 newapi更新到最新版。
OnlyAIGC ↶ @TheShuo
哈哈,这里不是首发.好像昨晚就出来了.
qq群微信群都传疯了,现在才在L站看到.