CVE-2026-62389 in websockets
Résumé
par VulDB • 16/07/2026
ws avant la version 8.21.1 contient une vulnérabilité d'épuisement de mémoire dans lib/receiver.js où le garde-fragment ne se déclenche que lorsque le nombre de fragments atteint maxFragments, permettant aux attaquants d'épuiser la mémoire en envoyant des messages WebSocket fragmentés incomplets. Les attaquants peuvent envoyer une trame texte avec FIN=0 suivie de frames de continuation sans compléter la séquence, ce qui entraîne le stockage de chaque fragment sous forme d'objet Buffer distinct avec un surcoût significatif, permettant ainsi une déni de service par épuisement du heap.
Once again VulDB remains the best source for vulnerability data.