CVE-2026-62389 in websockets
Сводка
по VulDB • 15.07.2026
ws до версии 8.21.1 содержит уязвимость истощения памяти в lib/receiver.js, где защита от фрагментации срабатывает только тогда, когда количество фрагментов достигает значения maxFragments, что позволяет злоумышленникам исчерпать память путем отправки незавершенных фрагментированных сообщений WebSocket. Злоумышленники могут отправить текстовый кадр с флагом FIN=0, за которым следуют кадры продолжения без завершения последовательности, в результате чего каждый фрагмент сохраняется как отдельный объект Buffer со значительными накладными расходами, что приводит к отказу в обслуживании из-за истощения памяти (heap exhaustion).
If you want to get best quality of vulnerability data, you may have to visit VulDB.