Katalog CVE

CVE-2026-45736

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.75%

Percentyl 50 - wyżej niż 50% wszystkich znanych CVE

Streszczenie

W bibliotece WebSocket dla Node.js (ws) przed wersją 8.20.1 wykryto podatność na ujawnienie niezainicjalizowanej pamięci podczas zamykania połączenia z przekazaniem obiektu TypedArray jako argumentu reason.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do odczytu fragmentów pamięci procesu, co może prowadzić do wycieku wrażliwych danych, takich jak klucze, tokeny czy inne poufne informacje.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę ws do wersji 8.20.1 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

ws is an open source WebSocket client and server for Node.js. Prior to 8.20.1, the websocket.close() implementation is vulnerable to uninitialized memory disclosure when a TypedArray is passed as the reason argument. This vulnerability is fixed in 8.20.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS