Critical-risk tools in Payments MCP
9 of the 25 tools in Payments MCP are classified as critical risk. This page profiles those tools specifically, with recommended policy actions and the attack patterns that target them.
Every operation listed below is an action PolicyLayer recommends controlling at the transport layer. Open any tool to see the full profile, risk score, and YAML policy snippet.
Tools at critical risk
-
woovi_delete_chargeDestructiveRemove uma cobrança via DELETE /api/v1/charge/{id}.
-
pagarme_cancel_chargeFinancialCancela/estorna uma charge.
-
pagarme_capture_chargeFinancialCaptura uma charge (quando cartão foi criado com capture=false).
-
pagarme_create_order_credit_card_splitFinancialCria um order com pagamento de cartão de crédito e split 100% para um recipient (personal).
-
pagarme_create_order_pix_splitFinancialCria um order com pagamento Pix e split 100% para um recipient (personal). Retorna QRCode/QRCodeUrl/ExpiresAt via transações da charge.
-
pagarme_create_recipientFinancialCria um recipient (personal) no Pagar.me com conta bancária padrão.
-
woovi_create_chargeFinancialCria uma cobrança Pix (OpenPix/Woovi) via POST /api/v1/charge.
-
woovi_create_charge_refundFinancialCria um refund para uma cobrança via POST /api/v1/charge/{id}/refund (quando suportado/necessário).
-
woovi_create_refundFinancialCria um refund via POST /api/v1/refund (por transactionEndToEndId).
Attacks that target this class
Critical-risk tools in any server share these documented attack patterns. Each links to the full case and the defensive policy.