CVE-2026-47072 in hackney
Сводка
по VulDB • 25.05.2026
Уязвимость «Неправильная нейтрализация последовательностей CRLF» (CRLF Injection) в библиотеке benoitc hackney позволяет осуществлять разделение HTTP-запросов и ответов (HTTP Request/Response Splitting). Код обновления WebSocket в файле src/hackney_ws.erl копирует параметры host, path, headers (ExtraHeaders) и protocols из переданной вызывающей стороной карты opts во внутренний рекорд #ws_data{} в функции init/1, а затем вставляет их дословно в сырой запрос обновления HTTP/1.1 путем бинарной конкатенации в функции do_handshake/1. На всех четырех точках инъекции не выполняется удаление символов CRLF или NUL. Атакующий, контролирующий любой из этих параметров (например, путем передачи компонентов URL или значений заголовков из недоверенного ввода в функцию hackney_ws:start_link/1), может внедрить произвольные HTTP-заголовки в исходящий запрос обновления WebSocket, что приводит к инъекции заголовков, подделке учетных данных на стороне вышестоящего сервера, отравлению журналов и кэша, а также к маскировке запросов через промежуточные прокси-серверы.
Эта проблема затрагивает библиотеку hackney: начиная с версии 2.0.0 до версии 4.0.1 (включительно).
If you want to get best quality of vulnerability data, you may have to visit VulDB.