漏洞总结:EEF-CVE-2026-42788 漏洞概述 漏洞编号:CVE-2026-42788 CVSS 评分:6.9(中等) 漏洞类型:资源分配无限制或节流(Allocation of Resources Without Limits or Throttling) 描述:在 库中,HTTP/2 帧大小限制检查在 body 被缓冲后才执行。攻击者可利用此漏洞通过发送超长 HTTP/2 帧导致服务器内存耗尽,引发拒绝服务(DoS)。 影响组件:Elixir 的 库(HTTP/2 服务器实现) 触发条件:未认证攻击者发送多个并发连接,每个连接携带超过协商帧大小限制的 body 数据,迫使服务器缓冲超出预期的数据量。 影响范围 受影响版本: - 0.3.6 至 1.11.0(含) - 具体影响版本范围: 和 修复版本: - 已修复版本: 包管理器: - Hex: - Git: 修复方案 升级 bandit 库至 1.11.0 或更高版本 该漏洞已在 1.11.0 中修复,建议所有使用该库的服务尽快升级。 参考链接 CVE 页面 GitHub 安全公告 修复提交 Hex 包页面 贡献者 发现者:Peter Ulicnič 修复开发者:Mat Trudel 分析师:Jonatan Männchen --- > 注:页面未提供 POC 或 exploit 代码,仅描述了漏洞原理和影响机制。