Carlton Gibson

**Nome do Software Vulnerável e Versões Afetadas** daphne versões anteriores a 4.2.2 **Description** Um invasor remoto não autenticado pode causar consumo excessivo de memória e a negação de serviço ao enviar mensagens ou quadros WebSocket arbitrariamente grandes. Isso ocorre porque `maxFramePayloadSize` e `maxMessagePayloadSize` não são passados para a função `WebSocketServerFactory` do Autobahn, que define ambos os valores como 0 por padrão, significando que são ilimitados. **Recommendations** Atualize para a versão 4.2.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** daphne versões anteriores a 4.2.2 **Descrição** Existe um diferencial de processamento (parser differential) ao reconstruir requisições HTTP brutas a partir de cabeçalhos analisados pelo Twisted para o processamento de handshake de WebSocket no autobahn. Enquanto o Twisted não reconhece os bytes `x0b`, `x0c`, `x1c`, `x1d`, `x1e` ou `x85` como separadores de linha de cabeçalho, o autobahn decodifica esses valores para strings e utiliza a função `splitlines()`. Essa discrepância permite que um invasor injete cabeçalhos adicionais no escopo ASGI passado para a aplicação. **Recomendações** Atualize para a versão 4.2.2 ou posterior.