Mpp · Mpp · CVE-2026-59252
**Nome do Software Vulnerável e Versões Afetadas**
mpp versões 0.2.0 through 0.5.9
**Description**
A validação inadequada de quantidades de entrada permite que um cliente remoto não autenticado esvazie a carteira do pagador de taxas, resultando em negação de serviço para clientes legítimos. Quando a biblioteca é configurada com `fee payer: true`, o método de pagamento `MPP.Methods.Tempo` co-assina e transmite transações EVM fornecidas pelo cliente sem verificar se o `gas limit` é suficiente. Um invasor pode enviar uma transação `transferWithMemo` com o `gas limit` definido logo abaixo do valor necessário. O servidor transmite isso via `rpc broadcast sync` e, embora a transação seja revertida por falta de gás, a carteira do pagador de taxas é cobrada pelo gás consumido. Além disso, o caminho otimista onde `wait for confirmation = false` é afetado porque a função `simulate payment call` via `eth call` omite o parâmetro de gás, não detectando condições de falta de gás.
**Recommendations**
Atualize o mpp para a versão 0.6.0 ou posterior.
Como mitigação temporária, defina `fee payer` como `false` na configuração do `MPP.Methods.Tempo` para desativar o patrocínio de gás pelo servidor.