PT-2026-60734 · Mpp · Mpp

·

CVE-2026-59252

·

Publicado

2026-07-17

·

Atualizado

2026-07-17

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas mpp versões 0.2.0 through 0.5.9
Description A validação inadequada de quantidades de entrada permite que um cliente remoto não autenticado esvazie a carteira do pagador de taxas, resultando em negação de serviço para clientes legítimos. Quando a biblioteca é configurada com fee payer: true, o método de pagamento MPP.Methods.Tempo co-assina e transmite transações EVM fornecidas pelo cliente sem verificar se o gas limit é suficiente. Um invasor pode enviar uma transação transferWithMemo com o gas limit definido logo abaixo do valor necessário. O servidor transmite isso via rpc broadcast sync e, embora a transação seja revertida por falta de gás, a carteira do pagador de taxas é cobrada pelo gás consumido. Além disso, o caminho otimista onde wait for confirmation = false é afetado porque a função simulate payment call via eth call omite o parâmetro de gás, não detectando condições de falta de gás.
Recommendations Atualize o mpp para a versão 0.6.0 ou posterior. Como mitigação temporária, defina fee payer como false na configuração do MPP.Methods.Tempo para desativar o patrocínio de gás pelo servidor.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59252
GHSA-VJ8P-HP9X-GH47

Produtos afetados

Mpp