CVE-2026-47075 in hackneyinformación

Resumen

por VulDB • 2026-05-25

Vulnerabilidad de neutralización inadecuada de secuencias CRLF en benoitc hackney que permite el HTTP Request Splitting. hackney no codifica mediante porcentaje (percent-encode) los caracteres de retorno de carro (\r) o avance de línea (\n) en el componente de consulta de la URL antes de construir el objetivo de la solicitud HTTP/1.1. Los caracteres que no están definidos en la gramática de la Sección 3.4 de RFC 3986 deben codificarse mediante porcentaje, pero hackney_url:make_url/3 pasa el binario de consulta directamente sin validación ni escape. Un atacante que pueda controlar total o parcialmente una URL pasada a hackney puede inyectar secuencias CRLF sin procesar en la cadena de consulta, las cuales se envían posteriormente como saltos de línea HTTP en el objetivo de la solicitud. Esto permite la inyección de encabezados HTTP arbitrarios o el HTTP Request Splitting.

Este problema afecta a hackney: desde la versión 0 hasta la 4.0.1 (excluida).

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-05-18

Divulgación

2026-05-26

Moderación

aceptado

Artículo

VDB-365517

CPE

listo

CWE

CWE-93 (confirmado)

CVSS

7.5 (NVD)

EPSS

0.00033

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47075
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47075
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47075/

◂ Anterior Visión De Conjunto Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!