Versões do PocketMine-MP anteriores àquela que contém o commit c8e1cfcbee4945fd4b63d2a7e96025c59744d4f1

O problema decorre de uma solução alternativa aplicada na versão 1.13, permitindo que um invasor envie um valor negativo de dano ou meta no NBT de uma ferramenta ou item de armadura. O TypeConverter então utiliza esse valor sem validação, levando a uma exceção quando chega a Durable->setDamage(), já que os metadados estão fora do intervalo esperado para valores de dano. Isso pode ser acionado tanto por um valor de dano muito grande quanto por um valor negativo.

Para versões anteriores àquela que contém o commit c8e1cfcbee4945fd4b63d2a7e96025c59744d4f1, considere usar um TypeConverter personalizado em plugins para validar os valores de metadados, embora isso possa ser trabalhoso.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.