漏洞总结:EEF-CVE-2026-39804 漏洞概述 漏洞名称:WebSocket permessage-deflate inflate 无输出大小限制 漏洞类型:资源分配无限制/节流(Allocation of Resources Without Limits or Throttling) 严重程度:CVSS v4 9.2 (High) 影响组件:Elixir 的 库(WebSocket 服务器) 漏洞描述:当启用 压缩时,攻击者可通过发送单个压缩帧耗尽 BEAM 节点内存,触发 OOM kill。该漏洞源于 调用无输出大小限制,且 仅限制压缩帧大小而非解压后数据。 影响范围 受影响版本:bandit 0.5.9 至 1.1.0(不含 1.1.0) 触发条件: - 服务器级 为 true(默认) - 升级路径 传入 (默认) 不受影响:Stock Phoenix 和 LiveView 应用(默认 ) 修复方案 临时规避:不向 传递 选项(或设为 ),防止协商 permessage-deflate 压缩。 根本修复:升级 bandit 至 1.1.0 或更高版本。 参考链接 GitHub Advisory CNA 页面 Commit 修复 Hex 包页面