जब Host हेडर लोकलहोस्ट होता है तो WeChat Pay कॉलबैक हस्ताक्षर सत्यापन बाईपास हो जाता है

CVE-2026-33661 'पे' घटक में एक भेद्यता है जो WeChat Pay का उपयोग करने वाले अनुप्रयोगों को प्रभावित करती है। विशेष रूप से, src/Functions.php में verifywechatsign() फ़ंक्शन PSR-7 अनुरोध में होस्ट 'localhost' होने पर RSA हस्ताक्षर सत्यापन को बिना शर्त छोड़ देता है। यह एक हमलावर को WeChat Pay कॉलबैक एंडपॉइंट पर दुर्भावनापूर्ण HTTP अनुरोध भेजने की अनुमति देता है, इस प्रकार महत्वपूर्ण हस्ताक्षर जांच को दरकिनार कर देता है। नतीजतन, एक हमलावर WeChat Pay भुगतान सफलता अधिसूचनाओं को जाली बना सकता है, जिससे एप्लिकेशन वास्तविक भुगतान के बिना ऑर्डर को भुगतान के रूप में चिह्नित कर सकता है। CVSS ने इस भेद्यता को 8.6 का स्कोर दिया है, जो उच्च जोखिम दर्शाता है। प्रभावित संस्करण 3.7.20 से पहले हैं। यह भेद्यता महत्वपूर्ण वित्तीय नुकसान और सिस्टम अखंडता के उल्लंघन का कारण बन सकती है।

Applications that integrate WeChat Pay using the yansongda/pay library, particularly those deployed on shared hosting environments or with minimal input validation, are at significant risk. Legacy systems using older versions of the library and lacking robust security practices are also highly vulnerable.

• php: Examine application code for usage of yansongda/pay and check version. Search for code that unconditionally skips signature verification based on the Host header.

// Example: Check for vulnerable code in Functions.php
grep -r "verify_wechat_sign(R" /path/to/your/application

• generic web: Monitor access logs for requests to WeChat Pay callback endpoints with a Host: localhost header.

# Example: grep for suspicious host headers in access logs
grep "Host: localhost" /var/log/apache2/access.log

1. 2026-03-25Disclosure

   disclosure

1. आरक्षित2026-03-23
2. प्रकाशित2026-03-25
3. संशोधित2026-03-27
4. EPSS अद्यतन2026-04-03

CVE-2026-33661 को कम करने का समाधान 'पे' घटक को संस्करण 3.7.20 या बाद के संस्करण में अपग्रेड करना है। यह अपडेट verifywechatsign() फ़ंक्शन में दोषपूर्ण तर्क को ठीक करता है जो होस्ट हेडर 'localhost' होने पर हस्ताक्षर सत्यापन को छोड़ने की अनुमति देता है। इसके अतिरिक्त, हस्ताक्षर सत्यापन से परे WeChat Pay कॉलबैक अनुरोधों के स्रोत को मान्य करने के लिए अतिरिक्त सत्यापन लागू करने की सिफारिश की जाती है, एक पूरक सुरक्षा उपाय के रूप में। इसमें मूल IP पते को सत्यापित करना या अनुमत IP पतों की अनुमति सूची का उपयोग करना शामिल हो सकता है। संभावित हमलों से खुद को बचाने के लिए इस अपडेट को जल्द से जल्द लागू करना महत्वपूर्ण है। अपडेट के बाद WeChat Pay कार्यक्षमता के ठीक से काम करने को सुनिश्चित करने के लिए पूरी तरह से परीक्षण करने की सिफारिश की जाती है।

अंतिम अपडेट

3.7.202 महीने पहले