简介

New API 是一个开源的大语言模式（LLM）网关和人工智能资产管理系统。

版本：

影响产品或组件及版本：New API<=0.12.9

项目地址: https://github.com/QuantumNous/new-api/

分析：

该漏洞源于

（1）代码\controller\topup_stripe.go 148-178行，未校验setting.StripeWebhookSecret是否可能未空值;

而\setting\payment_stripe.go中，setting.StripeWebhookSecret默认为空：故在 StripeWebhookSecret 为空（默认值）时，可通过空密钥计算HMAC 签名，绕过签名验证；

（2）代码\controller\topup_stripe.go，约180-214行中，sessionCompleted仅判断了状态是否为complete；代码\model\topup.go，约58行-105行，仅判断了订单是否处于Pending状态，只要是Pending就继续执行可以进行充值

修复：

目前，QuantumNous已经发布了New Api的升级版本v1.0.0-rc.6，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

官方链接如下：

https://github.com/QuantumNous/new-api/releases/tag/v1.0.0-rc.6

POC：

通过网盘分享的文件：CVE-2026-41432.py

链接: https://pan.baidu.com/s/1maU0X6xWzrADpfiDSbsiDQ?pwd=98uq 提取码: 98uq