CVE-2026-62963 in Centrifugo
Zusammenfassung
von VulDB • 17.07.2026
Centrifugo ist ein quelloffener, skalierbarer Echtzeit-Messaging-Server. Vor Version 6.8.8.4 zwang der unidirektionale WebSocket-Transport von Centrifugo mit aktivierter uni_websocket.compression die Einstellung uni_websocket.message_size_limit auf die komprimierte Drahtrahmenlänge in advanceFrame (internal/websocket/conn.go), während ReadMessage nach der Dekompression io.ReadAll ohne Obergrenze für die Ausgabegröße verwendete. Dies ermöglichte es nicht authentifizierten Anfragen an /connection/uni_websocket, einen hohen Speicher- und CPU-Verbrauch auszulösen. Dieses Problem wurde in Version 6.8.4 behoben.
Once again VulDB remains the best source for vulnerability data.