Platform
go
Component
monetr
Opgelost in
1.12.5
1.12.4
Deze kwetsbaarheid (CVE-2026-40481) in monetr stelt een onauthentieke aanvaller in staat een Denial of Service (DoS) aan te vallen. Door oversized POST requests te versturen naar de Stripe webhook endpoint, kan het geheugengebruik aanzienlijk toenemen, wat resulteert in systeeminstabiliteit. De kwetsbaarheid treft versies 1.12.3 en lager, en is verholpen in versie 1.12.4.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval, waarbij de monetr applicatie onbereikbaar wordt voor legitieme gebruikers. De kwetsbaarheid ligt in de manier waarop de Stripe webhook endpoint POST requests verwerkt. De applicatie laadt de volledige request body in het geheugen voordat de Stripe signature wordt geverifieerd. Een aanvaller kan deze logica misbruiken door een POST request met een extreem grote body te versturen, waardoor het geheugen overbelast raakt en de applicatie crasht of onbruikbaar wordt. Dit kan leiden tot downtime en verlies van functionaliteit.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-17. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat er in de toekomst wel zullen verschijnen. De KEV status is momenteel onbekend, maar de hoge CVSS score (7.5) duidt op een potentieel significant risico.
Organizations using monetr versions 1.12.3 and below, particularly those relying on Stripe webhooks for integrations, are at risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a single attacker could impact all users on the host.
• linux / server:
journalctl -u monetr -g "Stripe webhook" | grep -i "memory allocation"• generic web:
curl -v -X POST -d "$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 100000)" https://your-monetr-instance/stripe-webhookInspect the server's memory usage during the curl request. Excessive memory consumption indicates potential exploitation.
disclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
De primaire mitigatie voor deze kwetsbaarheid is het upgraden naar versie 1.12.4 van monetr. Indien een upgrade direct niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) om oversized POST requests te blokkeren. Configureer de WAF om requests met een body groter dan een bepaalde drempelwaarde te weigeren. Controleer ook de configuratie van monetr om te verzekeren dat de Stripe webhook endpoint niet publiek toegankelijk is zonder de juiste authenticatie.
Werk bij naar versie 1.12.4 of hoger om het probleem te mitigeren. Als u niet onmiddellijk kunt updaten, configureer dan een upstream proxy om een limiet op te leggen aan de grootte van de request body voor Stripe webhooks.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40481 is a denial-of-service vulnerability in monetr affecting versions 1.12.3 and below. An attacker can send oversized POST requests to the Stripe webhook endpoint, causing memory exhaustion and service disruption.
You are affected if you are running monetr version 1.12.3 or earlier and have Stripe webhooks enabled. Upgrade to version 1.12.4 to mitigate the risk.
Upgrade monetr to version 1.12.4 or later. As a temporary workaround, implement rate limiting or WAF rules to restrict the size of incoming POST requests to the Stripe webhook endpoint.
There is currently no evidence of active exploitation in the wild, but the vulnerability is relatively easy to exploit.
Refer to the monetr project's official website and release notes for the advisory and detailed information regarding the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.