UNKNOWNCVE-2026-33661
CVE-2026-33661 yansongda/pay 微信支付签名绕过漏洞
平台
php
组件
yansongda/pay
已修复版本
3.7.20
CVE-2026-33661 描述了 yansongda/pay 中的一个漏洞,该漏洞导致在 PSR-7 请求报告 localhost 作为主机时,无条件跳过所有签名验证。攻击者可以通过发送带有 Host: localhost 标头的伪造 HTTP 请求来绕过 RSA 签名检查。受影响版本为 v3.7.9 及更早版本。该问题已在 3.7.20 版本中得到修复,建议用户尽快升级。
修复方法
将 Pay 库更新到 3.7.20 或更高版本。此版本修复了在 Host 标头中使用 'localhost' 时绕过签名验证的漏洞。更新确保正确验证微信支付付款通知。
常见问题
什么是 CVE-2026-33661?
CVE-2026-33661 是 yansongda/pay 中的一个漏洞,允许绕过微信支付签名验证。
我是否受到 CVE-2026-33661 的影响?
如果您正在使用 yansongda/pay v3.7.9 或更早版本,则可能受到此漏洞的影响。
如何修复 CVE-2026-33661?
升级到 yansongda/pay 3.7.20 或更高版本以修复此漏洞。