CVE-2026-62963 in Centrifugoinformación

Resumen

por VulDB • 2026-07-16

Centrifugo es un servidor de mensajería en tiempo real escalable y de código abierto. Antes de la versión 6.8.4, el transporte WebSocket unidireccional de Centrifugo con `uni_websocket.compression` habilitado aplicaba correctamente el límite `uni_websocket.message_size_limit` contra la longitud del marco comprimido (wire-frame) en la función `advanceFrame` dentro de `internal/websocket/conn.go`, pero `ReadMessage` utilizaba `io.ReadAll` después de la descompresión sin imponer un límite máximo de salida, lo que permitía a solicitudes no autenticadas dirigidas al endpoint `/connection/uni_websocket` provocar un consumo excesivo de memoria y CPU. Este problema se ha corregido en la versión 6.8.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-07-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379629

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!