Katalog CVE

CVE-2026-47071

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność typu Uncontrolled Resource Consumption w bibliotece benoitc hackney pozwala na przeprowadzenie ataku Flooding. Problem polega na tym, że po nawiązaniu połączenia SOCKS5, czas oczekiwania na połączenie TLS jest domyślnie ustawiony na nieskończoność, co może prowadzić do zablokowania procesu łączenia.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zablokowania zasobów serwera, co prowadzi do odmowy usługi. Organizacje mogą doświadczyć poważnych zakłóceń w działaniu aplikacji korzystających z tej biblioteki.

Rekomendacja

Zaleca się aktualizację biblioteki hackney do wersji 4.0.1 lub nowszej, aby usunąć tę podatność. Należy również rozważyć implementację dodatkowych mechanizmów monitorowania i ograniczania zasobów.

Oryginalny opis (angielski, źródło NVD)

Uncontrolled Resource Consumption vulnerability in benoitc hackney allows Flooding. The SOCKS5 transport in src/hackney_socks5.erl correctly applies the caller-supplied timeout to the SOCKS5 negotiation phase, but then upgrades the connection to TLS using the two-argument form ssl:connect/2, which defaults to an infinite timeout. The Timeout value is in scope at the call site but is not forwarded. A hostile SOCKS5 proxy that completes the SOCKS5 handshake normally and then goes silent (or sends a partial TLS ServerHello and stalls) will cause the connecting process to block indefinitely, regardless of the connect_timeout or recv_timeout options supplied by the caller. This issue affects hackney: from 0.10.0 before 4.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS