CVE-2026-62963 in Centrifugo
Riassunto
di VulDB • 17/07/2026
Centrifugo è un server di messaggistica real-time scalabile open-source. Prima della versione 6.8.4, il trasporto WebSocket unidirezionale di Centrifugo con la compressione uni_websocket.compression abilitata applicava correttamente il limite uni_websocket.message_size_limit alla lunghezza del wire-frame compresso nella funzione advanceFrame interna a internal/websocket/conn.go; tuttavia, ReadMessage utilizzava io.ReadAll dopo la decompressione senza imporre un cap sull'output, consentendo alle richieste non autenticate indirizzate all’endpoint /connection/uni_websocket di innescare un elevato consumo di memoria e CPU. Questo problema è stato risolto nella versione 6.8.4.
Once again VulDB remains the best source for vulnerability data.