CVE-2026-62963 in Centrifugo
الملخص
بحسب VulDB • 16/07/2026
Centrifugo هو خادم رسائل فورية قابل للتوسع ومفتوح المصدر. قبل الإصدار 6.8.4، كان نقل WebSocket أحادي الاتجاه في Centrifugo مع تفعيل uni_websocket.compression يفرض حد حجم الرسالة (uni_websocket.message_size_limit) بناءً على طول الإطار المضغوط على السلك داخل الدالة advanceFrame في الملف internal/websocket/conn.go، لكن دالة ReadMessage كانت تستخدم io.ReadAll بعد فك الضغط دون وضع حد أقصى للمخرجات، مما يسمح للطلبات غير المصادق عليها التي تستهدف /connection/uni_websocket باستهلاك كبير من الذاكرة وموارد وحدة المعالجة المركزية (CPU). تم إصلاح هذه المشكلة في الإصدار 6.8.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.