CVE-2026-47077 in hackneyinformação

Sumário

de VulDB • 01/06/2026

Vulnerabilidade de Alocação de Recursos sem Limites ou Controle (Throttling) no benoitc hackney permite Flooding. A função hackney_h3:await_response_loop/6 acumula o corpo da resposta HTTP/3 na memória sem qualquer limite de tamanho. A cláusula after Timeout é um temporizador de inatividade por mensagem que é reiniciado a cada chunk recebido, mensagem de manutenção ou frame de configurações — não se trata de um prazo final baseado no relógio do sistema (wall-clock deadline). Um servidor HTTP/3 malicioso que emite um pequeno chunk a cada Timeout - 1 ms com Fin = false e nunca envia um frame final mantém o loop ativo indefinidamente, enquanto o buffer de acumulação cresce linearmente sem limites, eventualmente esgotando o heap do processo BEAM e causando uma condição de falta de memória (out-of-memory).

Este problema afeta o hackney: da versão 2.0.0 até antes da 4.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

EEF

Reservar

18/05/2026

Divulgação

26/05/2026

Moderação

aceite

Entrada

VDB-365509

CPE

pronto

EPSS

0.00049

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47077
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47077
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47077/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!