PT-2026-35034 · Go+2 · Github.Com/Quantumnous/New-Api+1
Changeyu0229
·
Publicado
2026-04-24
·
Atualizado
2026-05-13
·
CVE-2026-41432
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
New API versões anteriores a 0.12.10
Descrição
Uma falha no manipulador de webhook do Stripe permite que atacantes não autenticados forjem eventos de webhook e creditem cotas arbitrárias em suas contas sem realizar pagamentos. Isso é causado por três problemas: o sistema não rejeita solicitações quando o
StripeWebhookSecret está vazio (padrão), permitindo que atacantes computem assinaturas válidas; o manipulador sessionCompleted não verifica se o payment status está definido como paid; e a função Recharge() não valida se o PaymentMethod do pedido corresponde à fonte de retorno, permitindo a exploração entre gateways, onde pedidos de outros métodos de pagamento podem ser liquidados via um webhook do Stripe forjado.Detalhes técnicos incluem:
- Endpoint da API: '/api/stripe/webhook'
- Variáveis Vulneráveis:
StripeWebhookSecret - Funções Vulneráveis:
StripeWebhook(),sessionCompleted()eRecharge()
Recomendações
Atualize para a versão 0.12.10.
Como solução temporária, defina o
StripeWebhookSecret para qualquer valor não vazio no painel de administração.
Se o Stripe não for utilizado, bloqueie o acesso ao endpoint '/api/stripe/webhook' usando um proxy reverso.Exploit
Correção
Incorrect Authorization
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github.Com/Quantumnous/New-Api
New Api