CVE-2026-2229

Impacto<br /> El cliente WebSocket undici es vulnerable a un ataque de denegación de servicio debido a la validación incorrecta del parámetro server_max_window_bits en la extensión permessage-deflate. Cuando un cliente WebSocket se conecta a un servidor, anuncia automáticamente soporte para la compresión permessage-deflate. Un servidor malicioso puede responder con un valor server_max_window_bits fuera de rango (fuera del rango válido de zlib de 8-15). Cuando el servidor envía posteriormente un frame comprimido, el cliente intenta crear una instancia zlib InflateRaw con el valor windowBits no válido, causando una excepción RangeError síncrona que no es capturada, lo que resulta en la terminación inmediata del proceso.<br /> <br /> La vulnerabilidad existe porque:<br /> <br /> * La función isValidClientWindowBits() solo valida que el valor contiene dígitos ASCII, no que caiga dentro del rango válido 8-15<br /> * La llamada a createInflateRaw() no está envuelta en un bloque try-catch<br /> * La excepción resultante se propaga a través de la pila de llamadas y bloquea el proceso de Node.js