【慢讯】new-api计费漏洞,你的中转站余额可能越撸越多

Tom8866 2026-07-07 16:58 1

new-api 修复计费漏洞:超大参数可触发负数扣费


QuantumNous/new-api 项目提交两个修复,堵住了计费系统中的一个安全漏洞。该漏洞源于部分用户可控参数缺少严格的边界校验,当数值过大的参数进入 quota 计算后,可能触发整数溢出,导致原本应扣除的费用被错误计算为负数,产生类似"反向充值"的效果。


修复提交针对核心计费乘数问题,对参数增加上限校验,并引入饱和转换逻辑,避免 quota 计算结果在转为整数时回绕为负数。随后进一步补齐其他入口,增加边界检查,防止攻击者通过传入超大数字绕过类型检查,影响预扣费或结算逻辑。


^-^

最新回复 (1)
  • mouwen 07-07 17:12
    1

    先撸起来 ^-^

* 帖子来源NodeSeek
返回