PocketMine-MP (versões afetadas não especificadas)

O problema decorre do fato de o LoginPacket utilizar BinaryStream->getLInt() para ler os comprimentos da carga JSON. Como BinaryStream->getLInt() retorna um inteiro assinado, um cliente mal-intencionado pode criar um pacote com um valor uint32 grande para o tamanho do buffer de carga útil, o que é interpretado como um int32 assinado negativo. Isso faz com que BinaryStream->get() lance uma exceção, levando a uma falha do servidor no contexto do PocketMine-MP.

Para o PocketMine-MP, considere registrar uma implementação personalizada de LoginPacket no PacketPool, que substitua o código vulnerável para corrigi-lo.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.