HIGHCVE-2026-40481CVSS 7.5

monetrにおいて、認証されていないStripe webhookが署名検証前に攻撃者サイズの要求ボディを読み込む

Q: CVE-2026-40481 — DoS in monetr は何ですか？

CVE-2026-40481 は、monetr のバージョン 1.12.3 以前に存在する、巨大な POST リクエストボディを送信することでサービスを停止させる脆弱性です。

Q: CVE-2026-40481 in monetr は影響を受けますか？

monetr のバージョン 1.12.3 以前を使用している場合は、影響を受けます。バージョン 1.12.4 へのアップデートが必要です。

Q: CVE-2026-40481 in monetr をどのように修正しますか？

monetr をバージョン 1.12.4 へのアップデートを強く推奨します。アップデートがすぐに利用できない場合は、WAF ルールでリクエストボディのサイズを制限してください。

Q: CVE-2026-40481 は積極的に悪用されていますか？

現時点では、公開されている PoC は確認されていませんが、悪用される可能性はあります。

Q: CVE-2026-40481 の monetr の公式アドバイザリはどこで入手できますか？

monetr の公式アドバイザリは、monetr のウェブサイトまたは GitHub リポジトリで確認してください。

プラットフォーム

コンポーネント

monetr

修正版

1.12.5

1.12.4

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-40481 は、monetr のバージョン 1.12.3 以前に存在するサービス拒否 (DoS) の脆弱性です。この脆弱性は、Stripe Webhook エンドポイントが認証なしでアクセス可能であり、リクエストボディ全体を検証前にメモリに読み込むという設計に起因します。攻撃者は、巨大な POST ボディを送信することで、メモリを大量に消費させ、サービスを停止させることが可能です。バージョン 1.12.4 へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は認証なしで monetr の Stripe Webhook エンドポイントに巨大な POST リクエストボディを送信できます。これにより、monetr はリクエストボディ全体をメモリに読み込み、メモリ消費量が急増します。メモリが枯渇すると、monetr はサービスを停止し、DoS 状態に陥る可能性があります。この攻撃は、特に高負荷な環境で、monetr の可用性に深刻な影響を与える可能性があります。攻撃者は、この脆弱性を利用して、monetr を利用するアプリケーションの可用性を低下させ、ビジネスへの影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2026年4月17日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、認証なしで利用可能なエンドポイントとメモリ消費型の脆弱性であることから、悪用される可能性はあります。CISA KEV カタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using monetr versions 1.12.3 and below, particularly those relying on Stripe webhooks for integrations, are at risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a single attacker could impact all users on the host.

検出手順翻訳中…

• linux / server:

journalctl -u monetr -g "Stripe webhook" | grep -i "memory allocation"

• generic web:

curl -v -X POST -d "$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 100000)" https://your-monetr-instance/stripe-webhook

Inspect the server's memory usage during the curl request. Excessive memory consumption indicates potential exploitation.

攻撃タイムライン

2026-04-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.18% (40% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントmonetr

ベンダーmonetr

影響範囲修正版

< 1.12.4 – < 1.12.41.12.5

—1.12.4

弱点分類 (CWE)

CWE-400

タイムライン

予約済み2026-04-13
公開日2026-04-17
更新日2026-04-20
EPSS 更新日2026-04-25

緩和策と回避策

この脆弱性への対応策として、monetr をバージョン 1.12.4 へのアップデートを強く推奨します。アップデートがすぐに利用できない場合は、Stripe Webhook エンドポイントへのリクエストボディのサイズを制限する WAF (Web Application Firewall) ルールを実装することを検討してください。また、リクエストボディのサイズを検証するカスタムコードを実装することも有効です。アップデート後、monetr のログを監視し、異常なメモリ消費量やサービス停止の兆候がないか確認してください。

修正方法

問題を軽減するために、バージョン1.12.4以降にアップデートしてください。すぐにアップデートできない場合は、アップストリームプロキシを設定して、Stripe webhookの要求ボディサイズに制限を設けてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40481 — DoS in monetr は何ですか？