CVE-2026-33151Socket.IO是一个广泛使用的开源实时双向通信框架。在特定版本(3.3.5、3.4.4和4.2.6)之前,存在一处严重的资源管理缺陷。攻击者可构造恶意Socket.IO数据包,迫使服务器等待并缓冲海量的二进制附件数据。该漏洞可被恶意利用导致服务器内存耗尽,引发拒绝服务攻击,严重威胁服务的可用性。
该漏洞源于Socket.IO框架在解析和处理包含二进制附件的数据包时,缺乏严格的资源限制机制。具体而言,当Socket.IO服务器接收到一个经过特殊构造的数据包时,该数据包会声明包含极多数量的二进制附件。由于受影响版本的代码未能对预期的二进制附件数量或总大小进行恰当的验证与限制,服务器将进入等待状态,并尝试在内存中分配缓冲区以接收这些附件。攻击者可以利用这一缺陷,通过发送少量恶意数据触发服务器分配并缓冲海量内存资源,最终导致服务器因内存耗尽(OOM)而崩溃或陷入严重的拒绝服务状态。由于CVSS向量显示无需认证、无用户交互且攻击复杂度低,该漏洞极易被远程利用。