CVE-2026-47071
WysokieStreszczenie
Podatność typu Uncontrolled Resource Consumption w bibliotece benoitc hackney pozwala na przeprowadzenie ataku Flooding. Problem polega na tym, że po nawiązaniu połączenia SOCKS5, czas oczekiwania na połączenie TLS jest domyślnie ustawiony na nieskończoność, co może prowadzić do zablokowania procesu łączenia.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zablokowania zasobów serwera, co prowadzi do odmowy usługi. Organizacje mogą doświadczyć poważnych zakłóceń w działaniu aplikacji korzystających z tej biblioteki.
Rekomendacja
Zaleca się aktualizację biblioteki hackney do wersji 4.0.1 lub nowszej, aby usunąć tę podatność. Należy również rozważyć implementację dodatkowych mechanizmów monitorowania i ograniczania zasobów.
Oryginalny opis (angielski, źródło NVD)
Uncontrolled Resource Consumption vulnerability in benoitc hackney allows Flooding. The SOCKS5 transport in src/hackney_socks5.erl correctly applies the caller-supplied timeout to the SOCKS5 negotiation phase, but then upgrades the connection to TLS using the two-argument form ssl:connect/2, which defaults to an infinite timeout. The Timeout value is in scope at the call site but is not forwarded. A hostile SOCKS5 proxy that completes the SOCKS5 handshake normally and then goes silent (or sends a partial TLS ServerHello and stalls) will cause the connecting process to block indefinitely, regardless of the connect_timeout or recv_timeout options supplied by the caller. This issue affects hackney: from 0.10.0 before 4.0.1.

