CVE-2026-62963 in Centrifugoinformazioni

Riassunto

di VulDB • 17/07/2026

Centrifugo è un server di messaggistica real-time scalabile open-source. Prima della versione 6.8.4, il trasporto WebSocket unidirezionale di Centrifugo con la compressione uni_websocket.compression abilitata applicava correttamente il limite uni_websocket.message_size_limit alla lunghezza del wire-frame compresso nella funzione advanceFrame interna a internal/websocket/conn.go; tuttavia, ReadMessage utilizzava io.ReadAll dopo la decompressione senza imporre un cap sull'output, consentendo alle richieste non autenticate indirizzate all’endpoint /connection/uni_websocket di innescare un elevato consumo di memoria e CPU. Questo problema è stato risolto nella versione 6.8.4.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

15/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00301

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!