Was ist Credential Replay?

Credential Replay ist ein Angriff, bei dem ein Angreifer gültige Authentifizierungsdaten abfängt und wiederverwendet, um unbefugten Zugriff zu erhalten. Im Zusammenhang mit CVE-2026-34210 könnte eine gültige Stripe PaymentIntent-Anmeldeinformation wiederholt werden, um neue erfolgreiche Zahlungen zu erstellen, ohne den Kunden tatsächlich erneut zu belasten.

Was sind Payment Bypass Schwachstellen?

Payment Bypass Schwachstellen ermöglichen es Angreifern, Zahlungsprozesse zu umgehen und auf Ressourcen oder Dienste zuzugreifen, ohne dafür zu bezahlen. GHSA-8x4m-qw58-3pcx beschreibt mehrere Payment Bypass Schwachstellen in den `tempo/charge`- und `tempo/session`-Funktionen von `mppx`.

Wie aktualisiere ich mppx?

Sie können das `mppx`-Paket mit dem Befehl `npm update mppx` aktualisieren. Dieser Befehl aktualisiert `mppx` auf die neueste Version, die den im `package.json`-Datei angegebenen Versionsbereich erfüllt. Um sicherzustellen, dass Sie die gepatchte Version haben, überprüfen Sie die installierte Version mit `npm list mppx`.

Welche Versionen von mppx sind anfällig?

Versionen von `mppx` vor 0.4.11 sind anfällig für CVE-2026-34210, das die Wiederholung von Stripe-Gebührenanmeldeinformationen beinhaltet. Versionen vor 0.4.8 sind anfällig für GHSA-8x4m-qw58-3pcx, das mehrere Payment Bypass und Griefing Schwachstellen umfasst.

NextGuard

Zurück zum Blog

CVSS 9.5CVE-2026-34210GHSA-8x4m-qw58-3pcx

Mppx Payment Bypass und Credential Replay Schwachstellen (2026)

Kritische Schwachstellen im mppx nodejs-Paket ermöglichen das Umgehen von Zahlungen und das Wiederverwenden von Anmeldedaten. Aktualisieren Sie sofort auf die Versionen 0.4.11 und 0.4.8, um Risiken zu minimieren.

Veröffentlicht am 3. April 2026

Im `mppx` nodejs-Paket wurden mehrere Schwachstellen entdeckt, die potenziell das Umgehen von Zahlungen und Credential-Replay-Angriffe ermöglichen. Diese Schwachstellen könnten es Angreifern ermöglichen, Ressourcen ohne Bezahlung zu verbrauchen oder Zahlungsprozesse zu manipulieren. Patches sind in den Versionen 0.4.11 und 0.4.8 verfügbar, um diese Probleme zu beheben.

Eine Schwachstelle hat einen CVSS-Score von 9,5, was auf eine kritische Schwere und hohe Ausnutzbarkeit hinweist.

Was ist Mppx?

Mppx ist eine Komponente für nodejs, die wahrscheinlich für die Zahlungsabwicklung oder verwandte Funktionen innerhalb von nodejs-Anwendungen verwendet wird. Es verwaltet Gebühren-Transaktionen und Session-Management. Um mehr zu erfahren, können Sie alle mppx CVEs durchsuchen.

CVE-2026-34210: Mppx Stripe Charge Credential Replay

CVSSN/A

Betroffene VersionenBenutzer, die Versionen vor 0.4.11 verwenden, sind betroffen, wenn sie die `stripe/charge` Zahlungsmethode verwenden.

Kein CVSS-Score angegeben.

EPSS-Score von 0,04 deutet auf geringe Ausnutzbarkeit hin.

Der `stripe/charge` Zahlungs-Methode in `mppx` fehlte eine Prüfung des `Idempotent-Replayed` Antwort-Headers von Stripe. Ein Angreifer könnte eine gültige Anmeldeinformation wiederverwenden und dasselbe `spt`-Token gegen eine neue Herausforderung verwenden, wodurch der Server die wiederholte Stripe PaymentIntent als neue erfolgreiche Zahlung ohne zusätzliche Gebühren akzeptiert.

So beheben Sie CVE-2026-34210 in Mppx

Sofort patchen

1.Aktualisieren Sie das `mppx`-Paket auf Version 0.4.11 oder höher.

Mppx aktualisieren

npm update mppx

Verifizieren mit:

verify

npm list mppx

Workaround: Für diese Schwachstelle sind keine Workarounds verfügbar.

NextGuard kennzeichnet CVE-2026-34210 automatisch, wenn Mppx in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

GHSA-8x4m-qw58-3pcx: Mppx Mehrere Payment Bypass und Griefing Schwachstellen

CVSS9.5

Betroffene VersionenBenutzer, die Versionen vor 0.4.8 verwenden, sind betroffen, wenn sie die Funktionen `tempo/charge` und `tempo/session` verwenden.

Kritische Schwere, hohe Ausnutzbarkeit.

Kein EPSS-Score angegeben.

In `tempo/charge` und `tempo/session` innerhalb von `mppx` wurden mehrere Schwachstellen entdeckt, die es Angreifern ermöglichen, Zahlungen zu umgehen und Kanäle zu griefen. Dazu gehören das Wiederholen von Transaktions-Hashes, das Durchführen kostenloser Anfragen, das Manipulieren von Gebührenzahlern und das Umgehen der Signaturprüfung von Gutscheinen.

So beheben Sie GHSA-8x4m-qw58-3pcx in Mppx

Sofort patchen

1.Aktualisieren Sie das `mppx`-Paket auf Version 0.4.8 oder höher.

Mppx aktualisieren

npm update mppx

Verifizieren mit:

verify

npm list mppx

Workaround: Für diese Schwachstellen sind keine Workarounds verfügbar.

NextGuard kennzeichnet GHSA-8x4m-qw58-3pcx automatisch, wenn Mppx in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

Bleiben Sie nodejs-Schwachstellen einen Schritt voraus

Erkennen und beheben Sie proaktiv Schwachstellen in Ihren nodejs-Projekten. Überwachen Sie Ihre nodejs-Abhängigkeiten mit NextGuard.

Pläne vergleichen

Häufig gestellte Fragen

Kritische Schwachstellen in `mppx` erfordern sofortiges Patchen, um Payment Bypass und Credential Replay Angriffe zu verhindern. Stellen Sie sicher, dass Sie auf die Versionen 0.4.11 und 0.4.8 aktualisieren, um diese Risiken zu minimieren. Alle nodejs-Schwachstellen anzeigen.

Verwandte Themen

nodejsvulnerabilitypayment bypasscredential replaymppx