未认证的 Stripe webhook 读取无限制请求体 漏洞概述 漏洞名称: Unauthenticated Stripe webhook reads unbounded request bodies CVE ID: CVE-2024-40481 CVSS 评分: 6.2 / 10 严重程度: High 影响包: github.com/monetr/monetr (Go) 受影响版本: <= v1.12.3 修复版本: v1.12.4 影响范围 影响类型: 拒绝服务 / 不受控的资源消耗 (CWE-400) 受影响用户: 同时启用了 Stripe billing 和 Stripe webhooks 的 Internet 可访问的 monetr 部署 安全影响: 远程未授权攻击者可以将受控负载缓冲到内存中,在签名验证之前。足够大或重复的请求可能导致内存消耗过高,使 API 无响应或崩溃,从而拒绝服务给所有合法用户 攻击前提: 攻击者必须能够访问 /api/stripe/webhook 端点,并且目标实例必须启用了 Stripe webhooks。不需要身份验证、付费账户、用户交互或对 webhook 密钥的了解 修复方案 升级到 v1.12.4 或更高版本 POC 代码