CVE-2026-10099

Nome do Software Vulnerável e Versões Afetadas XX-Net versão 5.16.6

Description Um problema de análise de quadros WebSocket existe na rotina WebSocket receive worker do arquivo simple http server.py. O servidor lê incondicionalmente 4 bytes como uma chave de mascaramento, mesmo que o bit MASK não esteja definido no cabeçalho do quadro. Isso faz com que os primeiros 4 bytes da carga útil sejam consumidos como uma chave de máscara e o restante da carga útil seja decodificado incorretamente via XOR, resultando em corrupção de dados da aplicação. Além disso, o sistema não valida o bit RSV, o opcode e a fragmentação FIN.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.