CVE-2026-12151

Nome do Software Vulnerável e Versões Afetadas undici versões 6.17.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x

Description O cliente WebSocket não limita o número de fragmentos em uma mensagem, aplicando o maxPayloadSize apenas à contagem cumulativa de bytes. Um servidor malicioso pode enviar inúmeros quadros de continuação pequenos ou vazios que ignoram a validação por quadro e o tamanho cumulativo, resultando em crescimento ilimitado da memória, exaustão de memória e negação de serviço. Isso afeta aplicações que utilizam o cliente new WebSocket(...) ou a API WebSocketStream ao se conectarem a um endpoint comprometido ou controlado por um invasor.

Recommendations Atualize para a versão 6.26.0 ou posterior para o ramo 6.x. Atualize para a versão 7.28.0 ou posterior para o ramo 7.x. Atualize para a versão 8.5.0 ou posterior para o ramo 8.x.