CVE-2022-35917

Versões do Solana Pay anteriores à 0.2.1

O Solana Pay é um protocolo que permite aos desenvolvedores incorporar pagamentos descentralizados em seus aplicativos e serviços. Quando uma transação do Solana Pay é localizada por meio de uma chave de referência, é possível verificar se ela representa uma transferência do valor desejado para o destinatário, utilizando a função validateTransfer fornecida. Um caso extremo relacionado a esse mecanismo poderia fazer com que a lógica de validação validasse várias transferências. A maioria dos aplicativos de ponto de venda do Solana Pay conhecidos é atualmente executada em dispositivos físicos de ponto de venda, o que torna improvável que esse problema ocorra. No entanto, pode haver aplicativos de ponto de venda baseados na web que utilizam o protocolo, nos quais é mais provável que isso ocorra.

Para versões anteriores à 0.2.1, atualize para a versão 0.2.1 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função validateTransfer até que o patch seja aplicado. Não há soluções alternativas conhecidas para este problema além da atualização para a versão corrigida.