CVE-2026-48779
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 - wyżej niż 52% wszystkich znanych CVE
Streszczenie
Biblioteka WebSocket 'ws' dla Node.js jest podatna na atak DoS polegający na wyczerpaniu pamięci. Atakujący może wysłać wiele bardzo małych fragmentów danych, co zmusza serwer do alokowania struktur opakowujących zużywających znacznie więcej pamięci niż domyślny limit rozmiaru wiadomości, prowadząc do przerwania procesu z powodu braku pamięci.
Ocena ryzyka
Organizacja narażona jest na przerwanie działania usług korzystających z biblioteki 'ws' poprzez zdalny atak DoS, który może doprowadzić do wyczerpania pamięci i awarii procesu, nawet przy niewielkim ruchu sieciowym.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę 'ws' do wersji 5.2.5, 6.2.4, 7.5.11 lub 8.21.0 w zależności od używanej głównej wersji.
Oryginalny opis (angielski, źródło NVD)
ws is an open source WebSocket client and server for Node.js. All versions from 1.1.0 up to (but not including) 5.2.5, from 6.0.0 up to 6.2.4, from 7.0.0 up to 7.5.11, and from 8.0.0 up to 8.21.0 are affected by a memory exhaustion DoS vulnerability. A peer can send a high volume of exceptionally small fragments and data chunks, with modest network traffic, to force the remote peer into allocating and holding structural wrappers that consume far more memory than the default documented message-size limit, leading to process termination due to OOM. This issue has been fixed in versions 5.2.5, 6.2.4, 7.5.11, and 8.21.0.

