Skip to main content

new-api 修复计费漏洞:超大参数可触发负数扣费QuantumNous/new-api 项目提交两个修复,堵住了计费系统中的一个安全漏洞

  1. new-api 修复计费漏洞:超大参数可触发负数扣费

    QuantumNous/new-api 项目提交两个修复,堵住了计费系统中的一个安全漏洞。该漏洞源于部分用户可控参数缺少严格的边界校验,当数值过大的参数进入 quota 计算后,可能触发整数溢出,导致原本应扣除的费用被错误计算为负数,产生类似"反向充值"的效果。

    修复提交针对核心计费乘数问题,对参数增加上限校验,并引入饱和转换逻辑,避免 quota 计算结果在转为整数时回绕为负数。随后进一步补齐其他入口,增加边界检查,防止攻击者通过传入超大数字绕过类型检查,影响预扣费或结算逻辑。

    Github( 1 , 2 )

    🌸 在花频道 · 茶馆水群 · 投稿通道
    🤣 154 👍 4 😁 4 ❤️ 2 👎 2