GHSA-QR2G-P6Q7-W82M: GHSA-qr2g-p6q7-w82m: Coinbase x402 SDK (Solana) 中的关键支付验证绕过
发布: (2026年3月7日 GMT+8 19:10)
3 分钟阅读
原文: Dev.to
Source: Dev.to
漏洞概述
漏洞编号: GHSA-QR2G-P6Q7-W82M
CVSS 分数: 9.9(关键)
发布时间: 2026-03-07
Coinbase x402 SDK 中存在一个影响 Solana(SVM)支付验证的关键漏洞。该缺陷位于 facilitator 组件中,该组件负责中介验证自动化的 HTTP 402 支付。Solana 实现中对 Ed25519 加密签名的验证不当,使攻击者能够绕过支付要求,未经在区块链上完成所需交易即可获得对付费 API、计算资源或数字商品的未授权访问。该漏洞影响 @x402/svm npm 包、x402 PyPI 包以及 Go SDK。
TL;DR
Coinbase x402 SDK 的 Solana 支付验证逻辑存在关键缺陷。攻击者可以伪造支付签名,从而绕过 API 和服务的费用。这影响以下版本之前的发行:
- npm: < 2.6.0
- Python: < 2.3.0
- Go: < 2.5.0
所有 facilitator 必须立即升级。
利用状态
⚠️ 已提供 PoC
技术细节
- CWE 编号: CWE‑347
- 攻击向量: 网络
- 受影响协议: Solana (SVM)
- 修补日期: 2026-03-07
受影响系统
- 使用
@x402/svm的 Node.js 应用 - 使用
x402的 Python 应用 - 使用
github.com/coinbase/x402/go的 Go 应用
| 组件 | 受影响版本 | 已修复版本 |
|---|---|---|
@x402/svm (npm) | < 2.6.0 | 2.6.0 |
x402 (PyPI) | < 2.3.0 | 2.3.0 |
github.com/coinbase/x402/go | < 2.5.0 | 2.5.0 |
缓解策略
- 立即将所有 x402 SDK 组件升级到最新的已修补版本。
- 检查访问日志中是否有可疑活动,例如同一 IP 的重复签名或高频请求但链上交易量不匹配。
- 若无法立即打补丁,可暂时禁用 Solana(SVM)支付支持,回退到仅使用 EVM 支付。
修复步骤
- 确认所有充当 x402 facilitator 的服务。
- Node.js / TypeScript 项目
npm install @x402/svm@latest # 安装 2.6.0 或更高版本 - Python 项目
pip install x402 --upgrade # 安装 2.3.0 或更高版本 - Go 项目
# 编辑 go.mod 以要求使用已修补的版本 go get github.com/coinbase/x402/go@v2.5.0 - 重启所有 facilitator 服务以加载新逻辑。