Changeyu0229

**Nome do Software Vulnerável e Versões Afetadas** New API versões anteriores a 0.12.10 **Descrição** Uma falha no manipulador de webhook do Stripe permite que atacantes não autenticados forjem eventos de webhook e creditem cotas arbitrárias em suas contas sem realizar pagamentos. Isso é causado por três problemas: o sistema não rejeita solicitações quando o `StripeWebhookSecret` está vazio (padrão), permitindo que atacantes computem assinaturas válidas; o manipulador `sessionCompleted` não verifica se o `payment status` está definido como `paid`; e a função `Recharge()` não valida se o `PaymentMethod` do pedido corresponde à fonte de retorno, permitindo a exploração entre gateways, onde pedidos de outros métodos de pagamento podem ser liquidados via um webhook do Stripe forjado. Detalhes técnicos incluem: - Endpoint da API: '/api/stripe/webhook' - Variáveis Vulneráveis: `StripeWebhookSecret` - Funções Vulneráveis: `StripeWebhook()`, `sessionCompleted()` e `Recharge()` **Recomendações** Atualize para a versão 0.12.10. Como solução temporária, defina o `StripeWebhookSecret` para qualquer valor não vazio no painel de administração. Se o Stripe não for utilizado, bloqueie o acesso ao endpoint '/api/stripe/webhook' usando um proxy reverso.