文章总结： 开源AI中转站New-API存在高危漏洞，攻击者可利用Stripe支付Webhook验签缺陷伪造任意金额充值。漏洞原因为未配置签名密钥时旧版仍尝试验签，导致安全边界失效。新版v0.12.10已修复，未配置密钥时直接返回403。建议用户立即升级并检查Webhook暴露情况与订单异常。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,WEB安全,云安全

【安全圈】开源AI中转站现高危漏洞 利用缺陷可以伪造任意金额充值

安全圈

2026年4月17日 10:47 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

经营 API 中转站业务的站长请注意：New-API 项目日前出现高危漏洞，借助漏洞可以伪造任意金额充值，使用该项目搭建的 API 中转站应当立即升级到最新版。

新版本已经调整 Stripe 异步支付事件和 Webhook 验签逻辑，升级到新版本后增加显式判断，如果没有配置 Stripe 签名密钥，则尝试发起支付时会直接返回 403 并终止处理。

漏洞描述如下 (根据代码变更推测)：

在启用 Stripe 充值并且 Webhook 路由可以被外部访问的情况下，原本 Webhook 应该靠 StripeWebhookSecret 校验签名，但如果 secret 为空，旧代码仍然会尝试进行验签，正常情况下应该直接拒绝验签。

这意味着签名校验的安全边界失效，最坏的情况下攻击者可以伪造 Stripe 支付事件，让系统误以为已经成功支付并计入余额。

Stripe Webhook 的核心作用在于让平台在用户完成付款、付款失败或者异步支付到账时，自动接受 Stripe 发送的事件通知并完成后续操作，这些通知必须依赖 Stripe 签名与服务端保存的签名密钥完成验签，确保请求确实来自 Stripe 而不是伪造流量。

新版本封堵相关缺陷：

在最新发布的 New-API v0.12.10 版中，开发者已经将这个缺陷修复，在开启 Stripe 支付但并未配置密钥时，系统会直接返回 403 来终止处理。

对使用 New-API 的项目来说当前需要立即升级到最新版本，同时检查 Webhook 是否存在暴露的情况，如有需要还应当检查近期的支付订单是否存在异常。

END

阅读推荐

【安全圈】10 美元域名或致黑客掌控 2.5 万个终端，涉运营技术及政府网络

【安全圈】CISA 将微软 SharePoint Server 和 Office Excel 漏洞列入已知被利用漏洞目录

【安全圈】微软 2026 黑客大赛支付 230 万美元：揪出 80+ 个云和 AI 漏洞

【安全圈】伊朗大量美制通信设备突然”失灵”

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】开源AI中转站现高危漏洞 利用缺陷可以伪造任意金额充值》