CVE-2026-47077 in hackneyinfo

Zusammenfassung

von VulDB • 25.05.2026

Die Schwachstelle „Allocation of Resources Without Limits or Throttling" (Ressourcenzuteilung ohne Begrenzung oder Drosselung) in benoitc hackney ermöglicht Flooding-Angriffe. `hackney_h3:await_response_loop/6` sammelt den HTTP/3-Antwortkörper im Speicher ohne jegliche Größenbeschränkung. Die `after`-Timeout-Klausel ist ein pro-Nachricht-Inaktivitäts-Timer, der bei jedem empfangenen Chunk, einer Wartungsnachricht oder einem Settings-Frame zurückgesetzt wird – sie stellt keine absolute Zeitbegrenzung (Wall-Clock-Deadline) dar. Ein bösartiger HTTP/3-Server, der alle `Timeout - 1` ms einen kleinen Chunk mit `Fin = false` sendet und niemals einen finalen Frame sendet, hält die Schleife unbegrenzt am Leben, während der Akkumulationspuffer linear und unbegrenzt wächst, was schließlich den Heap des BEAM-Prozesses erschöpft und zu einem Out-of-Memory-Zustand führt.

Dieses Problem betrifft hackney: ab Version 2.0.0 bis vor 4.0.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

EEF

Reservieren

18.05.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365509

CPE

bereit

EPSS

0.00049

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47077
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47077
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47077/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!