Vulnerabilidad en nats-io (CVE-2026-27571)

NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y el perímetro (edge). El manejo de mensajes NATS por WebSockets gestiona mensajes comprimidos a través de la compresión negociada por WebSockets. Antes de las versiones 2.11.2 y 2.12.3, la implementación limitaba el tamaño de la memoria de un mensaje NATS, pero no limitaba de forma independiente el consumo de memoria del flujo de memoria al construir un mensaje NATS que luego podría fallar la validación por razones de tamaño. Un atacante puede usar una bomba de compresión para provocar un consumo excesivo de memoria, lo que a menudo resulta en que el sistema operativo termine el proceso del servidor. El uso de la compresión se negocia antes de la autenticación, por lo que esto no requiere credenciales NATS válidas para explotarlo. La solución, presente en las versiones 2.11.2 y 2.12.3, fue establecer límites para que la descompresión fallara una vez que el mensaje fuera demasiado grande, en lugar de continuar. La vulnerabilidad solo afecta a las implementaciones que usan WebSockets y que exponen el puerto de red a endpoints no confiables.