CVE-2026-34210 描述了 mppx 中 stripe/charge 支付方法的一个漏洞。该漏洞源于服务器未检查 Stripe 的 Idempotent-Replayed 响应头,导致攻击者能够重放有效的凭证,从而在未经实际扣费的情况下创建新的 PaymentIntent。此漏洞影响 mppx 的 0.4.0 及更早版本,已在 0.4.11 版本中修复。
该漏洞允许攻击者通过重放有效的凭证,在没有实际支付的情况下重复创建 PaymentIntent。攻击者可以利用此漏洞消耗大量的服务器资源,例如数据库连接、API 调用等,从而导致服务中断或拒绝服务。更严重的是,攻击者可能利用此漏洞进行欺诈活动,例如重复消费已支付的商品或服务。由于攻击者无需再次扣费即可创建新的 PaymentIntent,因此可能造成经济损失。此漏洞的潜在影响范围取决于 mppx 在应用中的使用方式和部署环境。
目前尚无公开的漏洞利用程序 (POC)。该漏洞已于 2026 年 3 月 29 日发布。由于该漏洞允许攻击者消耗资源,因此可能被恶意行为者利用。漏洞的严重程度正在评估中,尚未确定 CVSS 评分。建议密切关注安全社区的动态,以便及时了解漏洞的最新信息。
Applications utilizing the mppx library for Stripe payment processing are at risk, particularly those relying on the stripe/charge payment method without proper validation of the Idempotent-Replayed header. This includes applications with custom payment integrations and those using older versions of mppx.
• nodejs / server:
npm list mppx• nodejs / server:
grep -r 'stripe/charge' . --include=*.js | grep 'Idempotent-Replayed'• nodejs / server:
npm audit mppxdisclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 mppx 的 0.4.11 版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,并实施临时缓解措施。例如,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检查并阻止包含可疑 Idempotent-Replayed 头的请求。此外,可以审查应用程序代码,确保所有 PaymentIntent 的创建都经过适当的验证和授权。在升级后,请务必验证 Idempotent-Replayed 头是否被正确处理,以确保漏洞已成功修复。
Actualice la versión de mppx a la 0.4.11 o superior. Esta versión corrige la vulnerabilidad de reutilización de credenciales de Stripe al implementar la verificación del encabezado de respuesta Idempotent-Replayed de Stripe. Al actualizar, se asegura de que los pagos no puedan ser repetidos por atacantes para consumir recursos ilimitados sin cargos adicionales.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34210 描述了 mppx 中 PaymentIntent 创建过程中的一个漏洞,攻击者可以重放有效的凭据,无需再次扣费即可创建新的 PaymentIntent,导致资源滥用。
如果您正在使用 mppx 的 0.4.0 或更早版本,则可能受到此漏洞的影响。请立即升级到 0.4.11 版本。
最有效的修复方法是升级到 mppx 的 0.4.11 版本。如果升级导致问题,请考虑回滚并实施临时缓解措施,例如 WAF 规则。
目前尚无公开的漏洞利用程序,但由于该漏洞允许资源消耗,因此存在被恶意行为者利用的风险。
请查阅 mppx 官方文档或 GitHub 仓库,以获取有关 CVE-2026-34210 的最新信息和公告。