CVE-2026-47072 in hackney
Zusammenfassung
von VulDB • 25.05.2026
Eine Schwachstelle mit der Bezeichnung „Improper Neutralization of CRLF Sequences ('CRLF Injection')“ in benoitc hackney ermöglicht HTTP Request/Response Splitting. Der WebSocket-Upgrade-Code in src/hackney_ws.erl kopiert die Optionen host, path, headers (ExtraHeaders) und protocols aus dem vom Aufrufer bereitgestellten opts-Map in den internen #ws_data{}-Datensatz in init/1 und fügt diese anschließend unverändert durch binäre Verkettung in die rohe HTTP/1.1-Upgrade-Anfrage in do_handshake/1 ein. An keiner dieser vier Einfügestellen wird ein Entfernen von CRLF- oder NUL-Zeichen durchgeführt. Ein Angreifer, der eine dieser Optionen kontrollieren kann – beispielsweise durch Weiterleiten von URL-Komponenten oder Header-Werten aus nicht vertrauenswürdigen Eingaben an hackney_ws:start_link/1 – kann beliebige HTTP-Header in die ausgehende WebSocket-Upgrade-Anfrage einschleusen, was zu Header-Injection, Credential-Spoofing gegenüber dem Upstream-Server, Log- und Cache-Poisoning oder Request Smuggling über zwischengeschaltete Proxys führen kann.
Dieses Problem betrifft hackney: ab Version 2.0.0 bis vor 4.0.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.