Versões do PocketMine-MP anteriores à 3.26.5

Versões do PocketMine-MP anteriores à 4.0.5

A falha permite que os jogadores preencham as páginas dos livros com um número excessivo de caracteres, uma vez que o servidor não impõe o limite de caracteres. Além disso, o limite máximo de 50 páginas não é aplicado, permitindo que os jogadores criem “bombas de livro”. Isso causa vários problemas, incluindo dados NBT superdimensionados, o que resulta em uso excessivo de largura de banda tanto para o servidor quanto para o cliente, travamentos do servidor ao salvar mundos baseados em regiões devido ao excedimento do tamanho máximo de chunk e travamentos do servidor se qualquer página do livro exceder 32 KiB devido ao limite de tamanho do TAG String. Um invasor deve primeiro obter um livro gravável para explorar essa vulnerabilidade.

Para versões anteriores à 3.26.5, atualize para a versão 3.26.5 ou posterior.

Para versões anteriores à 4.0.5, atualize para a versão 4.0.5 ou posterior.

Como solução temporária, considere banir livros graváveis ou usar um plugin para cancelar o PlayerEditBookEvent se strlen(text) > 1024 || mb strlen(text) > 256.