monetr में, प्रमाणीकरणहीन स्ट्राइप वेबहुक रीड अटैकर-साइज़्ड रिक्वेस्ट बॉडीज़ सिग्नेचर वैलिडेशन से पहले

यह भेद्यता हमलावरों को monetr सर्वर पर DoS हमला करने की अनुमति देती है। हमलावर बड़ी POST बॉडी भेजकर, सर्वर की मेमोरी को खत्म कर सकते हैं, जिससे यह अनुरोधों को संसाधित करने में असमर्थ हो जाएगा। इससे सेवा में व्यवधान हो सकता है, जिससे उपयोगकर्ताओं के लिए सिस्टम अनुपलब्ध हो सकता है। चूंकि Stripe वेबहुक रूट बिना प्रमाणीकरण के पहुंच योग्य है, इसलिए हमलावर आसानी से इस भेद्यता का फायदा उठा सकते हैं। इस भेद्यता का उपयोग डेटा चोरी या अन्य दुर्भावनापूर्ण गतिविधियों के लिए भी किया जा सकता है, हालांकि यह भेद्यता मुख्य रूप से DoS पर केंद्रित है।

Organizations using monetr versions 1.12.3 and below, particularly those relying on Stripe webhooks for integrations, are at risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a single attacker could impact all users on the host.

• linux / server:

journalctl -u monetr -g "Stripe webhook" | grep -i "memory allocation"

• generic web:

curl -v -X POST -d "$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 100000)" https://your-monetr-instance/stripe-webhook

Inspect the server's memory usage during the curl request. Excessive memory consumption indicates potential exploitation.

1. 2026-04-17Disclosure

   disclosure

1. आरक्षित2026-04-13
2. प्रकाशित2026-04-17
3. संशोधित2026-04-20
4. EPSS अद्यतन2026-04-25

इस भेद्यता को कम करने के लिए, monetr को संस्करण 1.12.4 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेबहुक अनुरोधों के आकार को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, Stripe वेबहुक रूट के लिए प्रमाणीकरण लागू करने से अनाधिकृत पहुंच को रोका जा सकता है। अनुरोधों को संसाधित करने से पहले Stripe हस्ताक्षर सत्यापन को प्राथमिकता देना भी महत्वपूर्ण है।