PT-2026-60736 · Mpp · Mpp

·

CVE-2026-59695

·

Publicado

2026-07-17

·

Atualizado

2026-07-17

CVSS v4.0

8.3

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas mpp versões 0.2.0 até 0.5.9
Description A validação inadequada de quantidades de entrada permite que um cliente remoto não autenticado esvazie a carteira do pagador de taxas em uma única requisição ao especificar um preço de gas arbitrariamente alto. Quando a biblioteca é configurada como pagadora de taxas, a função cosign fee payer/3 assina novamente os campos base fornecidos pelo cliente do envelope 0x76 AASigned sem validar se max fee per gas e max priority fee per gas estão dentro de limites razoáveis. Um cliente mal-intencionado pode inserir valores excessivamente altos para essas variáveis, fazendo com que o servidor pague taxas de gas inflacionadas de sua própria carteira. Isso pode resultar no esgotamento total da carteira, impedindo que o servidor patrocine o gas para requisições legítimas. Este problema só é acessível quando o método MPP.Methods.Tempo é configurado com fee payer: true.
Recommendations Atualize o mpp para a versão 0.6.0 ou posterior. Como mitigação temporária, defina a configuração fee payer como false para desativar o patrocínio de gas pelo servidor.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59695
GHSA-VV77-66RF-PM86

Produtos afetados

Mpp