漏洞总结:CVE-2026-42786 漏洞概述 漏洞名称:WebSocket 碎片消息重组无界 (WebSocket fragmented message reassembly unbounded in bandit) CVE 编号:CVE-2026-42786 CVSS 评分:8.7 (高危) 漏洞类型:资源分配无限制或节流 (CWE-770) 描述:在 库中, 函数在重组 WebSocket 消息时,会将每个 帧的负载追加到无累积大小限制的列表中。如果攻击者发送大量未设置 的连续帧,会导致 BEAM 堆内存线性增长,最终耗尽内存导致拒绝服务 (DoS)。 触发条件:应用必须接受 WebSocket 连接。由于 Phoenix Channels 和 LiveView 均基于 Bandit 运行,任何接受 WebSocket 连接的 Phoenix 应用均受影响。 影响范围 受影响软件:Bandit 受影响版本:0.5.0 到 1.1.0 之前 (0.5.0 <= version < 1.1.0) 受影响模块: 受影响文件: 受影响例程: 修复方案 修复版本:1.1.0 及以上 修复详情:升级 Bandit 库至 1.1.0 或更高版本。 参考链接 GitHub Advisory OSV Database 修复 Commit