GHSA-QR2G-P6Q7-W82M: Coinbase x402 SDK（ソラナ）での重要な支払い確認の欠陥

メタジオフアID：GHSA-QR2G-P6Q7-W82M CVSSスコア：9.9 公開日：2026-03-07 Coinbase x402 SDKにおける支払い確認に関する重要な脆弱性があります。この脆弱性は、Solana (SVM)の支払い確認を管理するx402（Facilitator）パーサにあります。これはHTTP 402での自動的な認証に対応しています。 Ed25519 cryptographic signaturesの不備により、この脆弱性はソラナの実装において発生します。その結果、エージェントは認証を不要にする特定のサポッティングパッチへの攻撃を許可します。これに従うと、APIまたはサービスで使用されるプロトコルに対する支払いや計算資源やデジタル商品へのアクセスが無制限になります。 この脆弱性において@x402/svm NPM包、x402 PyPI包、あるいはgithub.com/coinbase/x402/goでのサポートが影響します。対象バージョンはNode.jsの2.6.0以前を含みます（修正されたもの：2.6.0）、Pythonの2.3.0以前を含みます（修正されたもの：2.3.0）、Goで2.5.0以前（修正が完了するには2.5.0）でした。 この脆弱性に対処するためには、まずX402の各サービスに対するアクセスログを検討することが重要です。特定のプロトコルに於いてシグネージャーの一貫した活動や大量のリクエストが観察された場合で、そのソースアドレスが相応の出力データなしで進行する場合を見つけるべきです。既存のバッファリングによっては即時修復不可の場合にはSVM支払いを一時的に非活用し、またEVM（以太坊）でのみ対応したものを選択します。 脆弱性に対する解決案ではまずx402各サービスの各アプリケーションがどの構成として利用されているか確認することが必須です。 さらにNode.js/TypeScript側にはnpmで@x402/svmを最新版（2.6.0以上）に更新し、PythonアプリケーションとGitHubでのgithub.com/coinbase/x402/goそれぞれのバージョンにも最新版へアップデートすることになります。これらは全て新バージョンへ入れ替えたことで、旧脆弱性からの解放が可能となります。 脆弱性の解消状況に関して詳細を読むためにも、metaballとMetasploitからこのメタジオフアに関する記事を見ることができます。GHSA-QR2G-P6Q7-W82Mについても同様です。

GHSA-qr2g-p6q7-w82m: Critical Payment Verification Bypass in Coinbase x402 SDK (Solana) Vulnerability ID: GHSA-QR2G-P6Q7-W82M CVSS Score: 9.9 Published: 2026-03-07 A critical vulnerability exists in the Coinbase x402 SDK affecting the verification of Solana (SVM) payments. The flaw is located in the facilitator component, which acts as an intermediary for validating automated HTTP 402 payments. Due to improper verification of Ed25519 cryptographic signatures in the Solana implementation, an attacker can bypass payment requirements. This allows unauthorized access to monetized APIs, compute resources, or digital goods without settling the required transaction on the blockchain. The vulnerability specifically affects the @x402/svm npm package, the x402 PyPI package, and the Go SDK. The Coinbase x402 SDK contains a critical flaw in its Solana payment verification logic. Attackers can spoof payment signatures to bypass fees for APIs and services using the protocol. This affects versions prior to 2.6.0 (npm), 2.3.0 (Python), and 2.5.0 (Go). Immediate upgrade is required for all facilitators. CWE ID: CWE-347 CVSS Score: 9.9 (Critical) Attack Vector: Network Exploit Status: PoC Available Affected Protocol: Solana (SVM) Patch Date: 2026-03-07 Node.js applications using @x402/svm Python applications using x402 Go applications using github.com/coinbase/x402/go @x402/svm: < 2.6.0 (Fixed in: 2.6.0) x402 (PyPI): < 2.3.0 (Fixed in: 2.3.0) github.com/coinbase/x402/go: < 2.5.0 (Fixed in: 2.5.0) Upgrade all x402 SDK components to the latest patched versions immediately. Review access logs for suspicious activity, specifically repeated signatures or high-volume requests from single IPs without corresponding on-chain volume. If immediate patching is not possible, temporarily disable Solana (SVM) payment support and fallback to EVM-only payments. Remediation Steps: Identify all services acting as x402 facilitators. For Node.js/TypeScript projects: Run npm install @x402/svm@latest to reach version 2.6.0 or higher. For Python projects: Run pip install x402 --upgrade to reach version 2.3.0 or higher. For Go projects: Update go.mod to require github.com/coinbase/x402/go version 2.5.0 or higher. Restart all facilitator services to load the new logic. GitHub Advisory Database Entry OSV Vulnerability Record Coinbase x402 Repository Official Security Advisory Page Read the full report for GHSA-QR2G-P6Q7-W82M on our website for more details including interactive diagrams and full exploit analysis.