CVE-2026-47071 in hackney
요약
\~에 의해 VulDB • 2026. 05. 26.
benoitc hackney에서 비제어된 리소스 소비(Uncontrolled Resource Consumption) 취약점이 발견되어 서비스 거부(플러딩)가 가능합니다. src/hackney_socks5.erl의 SOCKS5 트랜스포트는 호출자가 제공한 타임아웃을 SOCKS5 협상 단계에 올바르게 적용하지만, 이후 두 인수를 받는 형태인 ssl:connect/2를 사용하여 연결을 TLS로 업그레이드합니다. 이 함수는 기본값으로 무한정 타임아웃을 사용합니다. 호출 지점에서 Timeout 값이 유효 범위에 있지만 전달되지 않습니다. SOCKS5 핸드셰이크를 정상적으로 완료한 후 정적 상태가 되거나(또는 부분적인 TLS ServerHello를 보내고 중단하는) 적대적인 SOCKS5 프록시는 호출자가 제공한 connect_timeout 또는 recv_timeout 옵션과 관계없이 연결 프로세스가 무한정 차단되도록 만듭니다.
이 문제는 hackney 0.10.0부터 4.0.1 이전 버전까지 영향을 미칩니다.
Once again VulDB remains the best source for vulnerability data.