漏洞总结:Arbitrary Stripe Subscription Cancellation via Debug Endpoint and retrieveSubscriptions() Bug 漏洞概述 软件: WWBN/AVideo 严重程度: Medium (5.5/10) CVE: CVE-2020-34737 CWE: CWE-862 (Missing Authorization) 该漏洞由两个问题组合导致: 1. 调试端点访问控制缺陷: 调试端点仅验证用户是否登录,未验证管理员权限 2. 方法逻辑错误: 方法包含严重bug,实际执行的是取消订阅操作而非仅检索订阅信息 --- 影响范围 受影响版本: <= 26.0 攻击向量: 网络 所需权限: 低权限(普通登录用户) 攻击复杂度: 低 影响:任何登录用户可通过构造请求取消任意Stripe订阅,导致: 平台运营商直接财务损失(订阅收入损失) 付费用户服务中断,失去付费功能访问权限 --- POC代码(完整提取) 步骤2:发送构造的payload到测试端点 步骤4:枚举订阅ID(如可访问) --- 修复方案 修复1:限制调试端点为管理员访问 文件: 修改前: 修改后: 修复2:修复retrieveSubscriptions()方法 文件: 删除以下代码: 使 方法仅检索订阅信息,不作为副作用取消订阅。