Katalog CVE

CVE-2026-48779

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.78%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

Biblioteka WebSocket 'ws' dla Node.js jest podatna na atak DoS polegający na wyczerpaniu pamięci. Atakujący może wysłać wiele bardzo małych fragmentów danych, co zmusza serwer do alokowania struktur opakowujących, które zużywają znacznie więcej pamięci niż domyślny limit rozmiaru wiadomości, prowadząc do przerwania procesu z powodu braku pamięci (OOM).

Ocena ryzyka

Ryzyko polega na możliwości zdalnego zatrzymania usługi przez atakującego przy użyciu niewielkiego ruchu sieciowego, co może prowadzić do przerwania działania aplikacji i potencjalnej utraty dostępności usług.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę 'ws' do wersji 5.2.5, 6.2.4, 7.5.11 lub 8.21.0 w zależności od używanej głównej wersji.

Oryginalny opis (angielski, źródło NVD)

ws is an open source WebSocket client and server for Node.js. All versions from 1.1.0 up to (but not including) 5.2.5, from 6.0.0 up to 6.2.4, from 7.0.0 up to 7.5.11, and from 8.0.0 up to 8.21.0 are affected by a memory exhaustion DoS vulnerability. A peer can send a high volume of exceptionally small fragments and data chunks, with modest network traffic, to force the remote peer into allocating and holding structural wrappers that consume far more memory than the default documented message-size limit, leading to process termination due to OOM. This issue has been fixed in versions 5.2.5, 6.2.4, 7.5.11, and 8.21.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS