CVE-2026-62963 in Centrifugoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Centrifugo هو خادم رسائل فورية قابل للتوسع ومفتوح المصدر. قبل الإصدار 6.8.4، كان نقل WebSocket أحادي الاتجاه في Centrifugo مع تفعيل uni_websocket.compression يفرض حد حجم الرسالة (uni_websocket.message_size_limit) بناءً على طول الإطار المضغوط على السلك داخل الدالة advanceFrame في الملف internal/websocket/conn.go، لكن دالة ReadMessage كانت تستخدم io.ReadAll بعد فك الضغط دون وضع حد أقصى للمخرجات، مما يسمح للطلبات غير المصادق عليها التي تستهدف /connection/uni_websocket باستهلاك كبير من الذاكرة وموارد وحدة المعالجة المركزية (CPU). تم إصلاح هذه المشكلة في الإصدار 6.8.4.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

15/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379629

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!