CVE-2026-45736
ŚrednieCVSS 4.4Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 50 - wyżej niż 50% wszystkich znanych CVE
Streszczenie
W bibliotece WebSocket dla Node.js (ws) przed wersją 8.20.1 wykryto podatność na ujawnienie niezainicjalizowanej pamięci podczas zamykania połączenia z przekazaniem obiektu TypedArray jako argumentu reason.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do odczytu fragmentów pamięci procesu, co może prowadzić do wycieku wrażliwych danych, takich jak klucze, tokeny czy inne poufne informacje.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę ws do wersji 8.20.1 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
ws is an open source WebSocket client and server for Node.js. Prior to 8.20.1, the websocket.close() implementation is vulnerable to uninitialized memory disclosure when a TypedArray is passed as the reason argument. This vulnerability is fixed in 8.20.1.

