开源AI中转站项目New-API修复高危漏洞 利用缺陷可以伪造任意金额充值

信息安全 来源：蓝点网 2026-04-16 21:40:11 阅读：0

经营 API 中转站业务的站长请注意：New-API 项目日前出现高危漏洞，借助漏洞可以伪造任意金额充值，使用该项目搭建的 API 中转站应当立即升级到最新版。

新版本已经调整 Stripe 异步支付事件和 Webhook 验签逻辑，升级到新版本后增加显式判断，如果没有配置 Stripe 签名密钥，则尝试发起支付时会直接返回 403 并终止处理。

在启用 Stripe 充值并且 Webhook 路由可以被外部访问的情况下，原本 Webhook 应该靠 StripeWebhookSecret 校验签名，但如果 secret 为空，旧代码仍然会尝试进行验签，正常情况下应该直接拒绝验签。

这意味着签名校验的安全边界失效，最坏的情况下攻击者可以伪造 Stripe 支付事件，让系统误以为已经成功支付并计入余额。

Stripe Webhook 的核心作用在于让平台在用户完成付款、付款失败或者异步支付到账时，自动接受 Stripe 发送的事件通知并完成后续操作，这些通知必须依赖 Stripe 签名与服务端保存的签名密钥完成验签，确保请求确实来自 Stripe 而不是伪造流量。

在最新发布的 New-API v0.12.10 版中，开发者已经将这个缺陷修复，在开启 Stripe 支付但并未配置密钥时，系统会直接返回 403 来终止处理。

对使用 New-API 的项目来说当前需要立即升级到最新版本，同时检查 Webhook 是否存在暴露的情况，如有需要还应当检查近期的支付订单是否存在异常。

via GitHub