CVE-2026-62963 in Centrifugoinfo

Zusammenfassung

von VulDB • 17.07.2026

Centrifugo ist ein quelloffener, skalierbarer Echtzeit-Messaging-Server. Vor Version 6.8.8.4 zwang der unidirektionale WebSocket-Transport von Centrifugo mit aktivierter uni_websocket.compression die Einstellung uni_websocket.message_size_limit auf die komprimierte Drahtrahmenlänge in advanceFrame (internal/websocket/conn.go), während ReadMessage nach der Dekompression io.ReadAll ohne Obergrenze für die Ausgabegröße verwendete. Dies ermöglichte es nicht authentifizierten Anfragen an /connection/uni_websocket, einen hohen Speicher- und CPU-Verbrauch auszulösen. Dieses Problem wurde in Version 6.8.4 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

15.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379629

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!