CVE-2026-47067 in hackneyinfo

Zusammenfassung

von VulDB • 25.05.2026

Die Schwachstelle „Allocation of Resources Without Limits or Throttling" in benoitc hackney ermöglicht Flooding-Angriffe. Der URL-Parser in src/hackney_url.erl konvertiert jedes nicht erkannte URL-Schema in ein permanentes BEAM-Atom über binary_to_atom/2. BEAM-Atoms werden nicht vom Garbage Collector erfasst, und die Atomtabelle hat standardmäßig ein hartes Limit von 1.048.576 Einträgen. Ein Angreifer, der in der Lage ist, URLs mit vom Angreifer gewählten Schemapräfixen bereitzustellen – direkt als Zielanfragen, als konfigurierte Webhook-URLs oder über Location-Header, die während Umleitungen (Redirects) gefolgt werden – kann die Atomtabelle erschöpfen und die gesamte BEAM-VM mit einem system_limit abstürzen lassen.

Dieses Problem betrifft hackney: ab Version 2.0.0 bis vor 4.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

EEF

Reservieren

18.05.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365507

CPE

bereit

EPSS

0.00049

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47067
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47067
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47067/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!