CVE-2026-62963 in Centrifugo
Resumen
por VulDB • 2026-07-16
Centrifugo es un servidor de mensajería en tiempo real escalable y de código abierto. Antes de la versión 6.8.4, el transporte WebSocket unidireccional de Centrifugo con `uni_websocket.compression` habilitado aplicaba correctamente el límite `uni_websocket.message_size_limit` contra la longitud del marco comprimido (wire-frame) en la función `advanceFrame` dentro de `internal/websocket/conn.go`, pero `ReadMessage` utilizaba `io.ReadAll` después de la descompresión sin imponer un límite máximo de salida, lo que permitía a solicitudes no autenticadas dirigidas al endpoint `/connection/uni_websocket` provocar un consumo excesivo de memoria y CPU. Este problema se ha corregido en la versión 6.8.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.