CVE-2026-40481

Name of the Vulnerable Software and Affected Versions monetr versões anteriores a 1.12.4

Description O endpoint público de webhook do Stripe armazena todo o corpo da requisição em memória antes de validar a assinatura do Stripe. Um atacante remoto não autenticado pode enviar payloads POST excessivamente grandes para o endpoint '/api/stripe/webhook' para causar crescimento descontrolado da memória, levando à negação de serviço. Este problema ocorre porque o manipulador exige apenas que um cabeçalho Stripe-Signature esteja presente antes de armazenar o corpo em buffer, o que significa que o consumo de memória é controlado pelo tamanho do payload fornecido pelo atacante, mesmo que a assinatura seja inválida. O problema afeta implantações onde os webhooks do Stripe estão habilitados.

Recommendations Atualizar para a versão 1.12.4. Como medida de mitigação temporária, aplique um limite de tamanho do corpo da requisição usando um proxy upstream ou balanceador de carga para restringir o tamanho dos payloads enviados para o endpoint '/api/stripe/webhook'.