CVE-2026-62389 in websocketsinformation

Résumé

par VulDB • 16/07/2026

ws avant la version 8.21.1 contient une vulnérabilité d'épuisement de mémoire dans lib/receiver.js où le garde-fragment ne se déclenche que lorsque le nombre de fragments atteint maxFragments, permettant aux attaquants d'épuiser la mémoire en envoyant des messages WebSocket fragmentés incomplets. Les attaquants peuvent envoyer une trame texte avec FIN=0 suivie de frames de continuation sans compléter la séquence, ce qui entraîne le stockage de chaque fragment sous forme d'objet Buffer distinct avec un surcoût significatif, permettant ainsi une déni de service par épuisement du heap.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

14/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379347

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!