CVE-2026-47073
WysokieStreszczenie
W podatności CVE-2026-47073 w bibliotece benoitc hackney występuje problem z alokacją zasobów bez limitów, co umożliwia ataki typu Flooding. Klient WebSocket nie narzuca górnego limitu na zużycie pamięci w trzech ścieżkach kodu, co prowadzi do wyczerpania pamięci.
Ocena ryzyka
Organizacja może być narażona na ataki, które prowadzą do wyczerpania zasobów systemowych, co może skutkować awarią usług i negatywnie wpłynąć na dostępność aplikacji.
Rekomendacja
Zaleca się wprowadzenie limitów na alokację pamięci w kodzie oraz monitorowanie zużycia zasobów, aby zapobiec potencjalnym atakom Flooding.
Oryginalny opis (angielski, źródło NVD)
Allocation of Resources Without Limits or Throttling vulnerability in benoitc hackney allows Flooding. The WebSocket client in src/hackney_ws.erl imposes no upper bound on memory consumption in three code paths. First, read_handshake_response/3 accumulates received bytes into a growing buffer with no size cap; the per-receive timeout resets on every chunk, so a server that streams bytes without ever sending \r\n\r\n causes the buffer to grow until memory is exhausted. Second, parse_payload/9 and parse_active_payload/8 do not validate the declared frame payload length against any limit; because RFC 6455 allows payload lengths up to 2^63-1 bytes, a server that announces a very large frame and dribbles bytes causes the accumulation buffer to grow until OOM. Third, the frag_buffer field in #ws_data{} accumulates continuation frames indefinitely; a server that sends an endless stream of non-final (nofin) fragmented frames without ever sending a final (fin) frame grows frag_buffer without bo

