漏洞概述 CVE编号: CVE-2026-39804 漏洞名称: WebSocket permessage-deflate inflate has no output-size cap in bandit CVSS 4.0 Score: 8.2 (HIGH) 漏洞描述: 在 中,当启用 压缩时,存在未授权远程拒绝服务漏洞。攻击者可以通过发送单个压缩帧耗尽 BEAM 节点的内存并触发 OOM kill。 影响范围 受影响模块: - - 源文件: - 例程: 受影响版本: - : 0.5.8 至 < 1.11.0 - : da4827cff7 至 < 1.11.0 修复方案 配置条件: - 漏洞仅在以下两个条件同时满足时可达: 1. Bandit 的服务器级 启用(默认为 )。 2. 升级时传递 选项给 (默认为 )。 - 默认情况下,Phoenix 和 LiveView 应用不受影响,因为它们的 默认为 。 变通方法: - 不要将 传递给 。省略此选项(或设置为 )可防止在协商过程中启用 ,从而避免触发该漏洞。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commit 致谢 发现者: Peter Lilrich