Katalog CVE

CVE-2026-47072

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność typu CRLF Injection w bibliotece hackney pozwala na dzielenie żądań/odpowiedzi HTTP. Atakujący może wstrzykiwać dowolne nagłówki HTTP do wychodzącego żądania WebSocket, co prowadzi do różnych zagrożeń, takich jak fałszowanie poświadczeń czy złośliwe przekazywanie żądań.

Ocena ryzyka

Organizacje mogą być narażone na ataki związane z fałszowaniem nagłówków, co może prowadzić do wycieku danych lub manipulacji sesjami użytkowników. Dodatkowo, może to skutkować złośliwym przechwytywaniem logów i pamięci podręcznej.

Rekomendacja

Zaleca się aktualizację biblioteki hackney do wersji 4.0.1 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu w celu zidentyfikowania i zabezpieczenia miejsc, gdzie mogą występować wstrzyknięcia CRLF.

Oryginalny opis (angielski, źródło NVD)

Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in benoitc hackney allows HTTP Request/Response Splitting. The WebSocket upgrade code in src/hackney_ws.erl copies the host, path, headers (ExtraHeaders), and protocols options from the caller-supplied opts map into the internal #ws_data{} record in init/1 and then splices them verbatim into the raw HTTP/1.1 upgrade request by binary concatenation in do_handshake/1. No CRLF or NUL stripping is performed at any of these four injection sites. An attacker who controls any of these options — for example by forwarding URL components or header values from untrusted input into hackney_ws:start_link/1 — can inject arbitrary HTTP headers into the outbound WebSocket upgrade request, leading to header injection, credential spoofing toward the upstream server, log and cache poisoning, or request smuggling via intermediary proxies. This issue affects hackney: from 2.0.0 before 4.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS