CVE-2026-9675

Nome do Software Vulnerável e Versões Afetadas undici versão 8.1.0

Description O cliente WebSocket do undici impõe o maxPayloadSize por quadro, mas não impõe o tamanho cumulativo de mensagens fragmentadas não compactadas. Um servidor WebSocket malicioso pode transmitir diversos fragmentos pequenos que passam individualmente na validação, mas que coletivamente excedem o limite configurado. Isso leva ao crescimento ilimitado da memória no processo do cliente, resultando em exaustão de memória e negação de serviço. Este problema afeta aplicações que utilizam o cliente new WebSocket(...) e que se conectam a endpoints comprometidos ou controlados por atacantes.

Recommendations Atualize para as versões do undici 8.5.0 ou posteriores.