易支付源码10月最新版，修复严重漏洞，信息泄露，伪造支付回调

易支付源码10月最新版，修复严重漏洞，信息泄露，伪造支付回调

支付宝在线购买，如发现其他漏洞问题联系邮箱修复，目前已修复已知漏洞和
易支付源码10月最新版，修复严重漏洞，信息泄露，XSS和SQL注入，请求伪造攻击回调
特色功能:支付插件扩展、用户组管理、商户审核、交易统计、用户管理、交易投诉管理、分账管理等

已知漏洞修复时间：2025年10月13号（修复漏洞共计：122个）

1. SQL注入漏洞

• 使用字符串拼接构建SQL查询敏感信息
• 攻击者可直接操作数据库，获取敏感信息或破坏数据

2. 验证机制漏洞

• 各种支付渠道的密钥、证书路径等敏感信息
• 在多个支付插件中发现、API密钥等敏感信息硬编码漏洞

3. 退款逻辑漏洞

• 发现退款金额检查不够严格
• 存在负数或超额退款

4. 不安全的直接对象引用

• 直接接受用户输入作为数据库查询条件
• 可越权访问其他用户数据

5. 支付网关漏洞

• 支付回调验证机制漏洞
• 支付状态可被伪造

6. 文件上传漏洞

• 文件类型验证不足
• 可上传恶意文件

7. 会话管理不安全

• 会话令牌生成和验证机制薄弱
• 会话劫持风险

8. CSRF保护缺失

• 跨站请求伪造攻击

9. 敏感信息泄露

• 数据库配置信息明文存储
•  配置信息泄露

10. 错误信息泄露

• 详细错误信息直接显示给用户
• 信息泄露

11. 用户代理检测绕过

• 访问控制可被轻易绕过

修复漏洞统计

• XSS脚本攻击:  已修复
• SQL注入漏洞: 已修复
• 路径遍历漏洞: 已修复
• 权限绕过问题: 已修复
• 敏感数据泄露: 已修复
• 会话安全问题: 已修复
• 伪造支付回调: 已修复
• 代码逻辑漏洞: 已修复
• 加密安全问题: 已修复
• 第三方组件风险: 已修复
• 日志和监控安全: 已修复

源码截图：