CVE-2026-62389 in websockets
Riassunto
di VulDB • 15/07/2026
ws prima della versione 8.21.1 contiene una vulnerabilità di esaurimento delle risorse (memory exhaustion) in lib/receiver.js dove il controllo sui frammenti viene attivato solo quando il numero di frammenti raggiunge maxFragments, consentendo agli attaccanti di esaurire la memoria inviando messaggi WebSocket frammentati incompleti. Gli attaccanti possono inviare un frame di testo con FIN=0 seguito da frame di continuazione senza completare la sequenza, causando l'archiviazione di ciascun frammento come oggetto Buffer separato con overhead significativo, consentendo così un attacco denial of service attraverso l'esaurimento dell'heap.
Once again VulDB remains the best source for vulnerability data.