开源AI中转站项目New-API修复高危漏洞利用缺陷可以伪造任意金额充值

业界来源：蓝点网 2026-04-16 21:40:08

经营 API 中转站业务的站长请注意：New-API 项目日前出现高危漏洞，借助漏洞可以伪造任意金额充值，使用该项目搭建的 API 中转站应当立即升级到最新版。

新版本已经调整 Stripe 异步支付事件和 Webhook 验签逻辑，升级到新版本后增加显式判断，如果没有配置 Stripe 签名密钥，则尝试发起支付时会直接返回 403 并终止处理。

漏洞描述如下 (根据代码变更推测)：

在启用 Stripe 充值并且 Webhook 路由可以被外部访问的情况下，原本 Webhook 应该靠 StripeWebhookSecret 校验签名，但如果 secret 为空，旧代码仍然会尝试进行验签，正常情况下应该直接拒绝验签。

这意味着签名校验的安全边界失效，最坏的情况下攻击者可以伪造 Stripe 支付事件，让系统误以为已经成功支付并计入余额。

Stripe Webhook 的核心作用在于让平台在用户完成付款、付款失败或者异步支付到账时，自动接受 Stripe 发送的事件通知并完成后续操作，这些通知必须依赖 Stripe 签名与服务端保存的签名密钥完成验签，确保请求确实来自 Stripe 而不是伪造流量。

新版本封堵相关缺陷：

在最新发布的 New-API v0.12.10 版中，开发者已经将这个缺陷修复，在开启 Stripe 支付但并未配置密钥时，系统会直接返回 403 来终止处理。

对使用 New-API 的项目来说当前需要立即升级到最新版本，同时检查 Webhook 是否存在暴露的情况，如有需要还应当检查近期的支付订单是否存在异常。

via GitHub

延伸阅读

超过23万个OpenClaw实例暴露在公网上建议立即取消公网访问提升安全性

目前越来越多的网友开始尝试部署 OpenClaw AI 机器人，这种基于人工智能技术的个人助理机器人使用体验非常好，但用户赋予的权限越高则潜在的安全风险也越高。除了日常使用可能会将部分敏感信息暴露给
大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机目前已修复

多数智能扫地机都附带摄像头和远程控制功能，并且多数核心功能还都依赖于云端，这可以让用户在客户端应用程序上控制扫地机启动、清洁、查看实时画面和规划清扫路线等。但智能家居产品拥有的权限越多，潜在的安全风险
字节跳动的豆包PC版更新后附带浏览器看起来和夸克网盘类似

据蓝点网网友分享的消息，有用户安装的字节跳动豆包 PC 版最近在更新后在桌面上生成豆包浏览器，蓝点网测试后发现确实新增 AI 浏览器，但豆包的主窗口还在。这种做法与夸克网盘此前的做法类似，原本夸克网盘

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

*文章为作者独立观点，不代表 K2数据恢复大师立场

本文由山后的月亮发表，转载此文章须经作者同意，并请附上出处( K2数据恢复大师 )及本页链接。

原文链接 https ://www.51uos.com/news/industry/10044.html

AI API New-API Stripe 中转站蓝点网

关注网络尖刀微信公众号
随时掌握互联网精彩

开源AI中转站项目New-API修复高危漏洞 利用缺陷可以伪造任意金额充值