Plateforme
go
Composant
monetr
Corrigé dans
1.12.5
1.12.4
La vulnérabilité CVE-2026-40481 est une faille de déni de service (DoS) affectant monetr, une application écrite en Go. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une consommation excessive de mémoire en envoyant des requêtes POST volumineuses au point de terminaison webhook Stripe. Les versions concernées sont 1.12.3 et toutes les versions antérieures. La correction est disponible dans la version 1.12.4.
Cette vulnérabilité exploite le fait que monetr charge l'intégralité du corps de la requête POST dans la mémoire avant de valider la signature Stripe. Un attaquant peut exploiter cette faiblesse en envoyant des requêtes POST excessivement volumineuses. Le traitement de ces requêtes volumineuses entraîne une croissance significative de la consommation de mémoire par le processus monetr. Cette consommation excessive de mémoire peut conduire à un déni de service, rendant l'application indisponible pour les utilisateurs légitimes. L'absence d'authentification requise pour accéder au point de terminaison webhook rend cette vulnérabilité particulièrement critique, car elle peut être exploitée par n'importe quel attaquant externe sans nécessiter d'informations d'identification.
La vulnérabilité CVE-2026-40481 a été publiée le 2026-04-17. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu à ce jour. La probabilité d'exploitation est considérée comme faible, mais la simplicité de l'exploitation potentielle nécessite une attention particulière.
Organizations using monetr versions 1.12.3 and below, particularly those relying on Stripe webhooks for integrations, are at risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a single attacker could impact all users on the host.
• linux / server:
journalctl -u monetr -g "Stripe webhook" | grep -i "memory allocation"• generic web:
curl -v -X POST -d "$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 100000)" https://your-monetr-instance/stripe-webhookInspect the server's memory usage during the curl request. Excessive memory consumption indicates potential exploitation.
disclosure
Statut de l'Exploit
EPSS
0.18% (percentile 40%)
CISA SSVC
La mitigation principale consiste à mettre à jour monetr vers la version 1.12.4, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à configurer un proxy inverse ou un pare-feu d'application web (WAF) pour limiter la taille maximale des requêtes POST autorisées au point de terminaison webhook Stripe. Il est également possible de configurer monetr pour qu'il ne charge qu'une partie du corps de la requête en mémoire, mais cela peut affecter la fonctionnalité de validation de la signature Stripe. Après la mise à jour, vérifiez que le point de terminaison webhook Stripe ne peut plus recevoir de requêtes POST excessivement volumineuses en effectuant un test avec une requête POST de taille importante.
Mettez à jour vers la version 1.12.4 ou ultérieure pour atténuer le problème. Si vous ne pouvez pas mettre à jour immédiatement, configurez un proxy en amont pour imposer une limite sur la taille du corps de la requête aux webhooks Stripe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40481 is a denial-of-service vulnerability in monetr affecting versions 1.12.3 and below. An attacker can send oversized POST requests to the Stripe webhook endpoint, causing memory exhaustion and service disruption.
You are affected if you are running monetr version 1.12.3 or earlier and have Stripe webhooks enabled. Upgrade to version 1.12.4 to mitigate the risk.
Upgrade monetr to version 1.12.4 or later. As a temporary workaround, implement rate limiting or WAF rules to restrict the size of incoming POST requests to the Stripe webhook endpoint.
There is currently no evidence of active exploitation in the wild, but the vulnerability is relatively easy to exploit.
Refer to the monetr project's official website and release notes for the advisory and detailed information regarding the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.