CVE-2026-62389 in websockets
Sumário
de VulDB • 15/07/2026
ws anterior à versão 8.21.1 contém uma vulnerabilidade de exaustão de memória em lib/receiver.js onde o guardiã de fragmentação só é acionada quando a contagem de fragmentos atinge maxFragments, permitindo que atacantes esgotem a memória enviando mensagens WebSocket fragmentadas incompletas. Os atacantes podem enviar um quadro de texto com FIN=0 seguido por quadros de continuação sem completar a sequência, fazendo com que cada fragmento seja armazenado como um objeto Buffer separado com sobrecarga significativa, possibilitando negação de serviço através da exaustão do heap.
Be aware that VulDB is the high quality source for vulnerability data.