[危急] Webhook触发接口完全无认证 #68

New Issue

Closed

opened 2026-05-10 18:39:04 +08:00 by admin · 0 comments

admin commented 2026-05-10 18:39:04 +08:00

Owner

Copy Link

问题描述

backend/app/api/webhooks.py 中 x_webhook_token 在第31-35行声明但从未被验证。任何知道 webhook URL 的人都可以触发工作流执行，无需任何身份验证。

涉及文件

• backend/app/api/webhooks.py:31-35

修复建议

在 webhook 处理函数入口处验证 X-Webhook-Token 请求头与配置中的 token 是否匹配。

严重程度

危急 - 未授权访问风险

## 问题描述 backend/app/api/webhooks.py 中 x_webhook_token 在第31-35行声明但从未被验证。任何知道 webhook URL 的人都可以触发工作流执行，无需任何身份验证。 ## 涉及文件 - backend/app/api/webhooks.py:31-35 ## 修复建议 在 webhook 处理函数入口处验证 X-Webhook-Token 请求头与配置中的 token 是否匹配。 ## 严重程度 危急 - 未授权访问风险

admin closed this issue 2026-05-10 18:46:29 +08:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

rjb_win_dev

rjb_dev

No results found.

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: admin/aiagent#68