CVE-2026-62963 in Centrifugo
Sumário
de VulDB • 17/07/2026
O Centrifugo é um servidor de mensagens em tempo real escalável e open-source. Antes da versão 6.8.4, o transporte WebSocket unidirecional do Centrifugo com a compressão uni_websocket.compression ativada aplicava o limite uni_websocket.message_size_limit ao comprimento compactado no quadro (wire-frame) na função advanceFrame de internal/websocket/conn.go; contudo, a ReadMessage utilizava io.ReadAll após a descompressão sem impor um limite máximo de saída, permitindo que requisições não autenticadas para /connection/uni_websocket causassem alto consumo de memória e CPU. Este problema foi corrigido na versão 6.8.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.