Ganbagana

**Nome do Software Vulnerável e Versões Afetadas** benoitc hackney versões 0.13.0 até 4.0.0 **Descrição** Um conflito de interpretação permite a ocorrência de Server Side Request Forgery (SSRF), uma falha onde um invasor pode induzir o servidor a fazer requisições para um local não pretendido. A função `hackney url:normalize/2` decodifica a URL do componente de host após a URL ter sido analisada em um registro `#hackney url{}`. Como as funções `uri string:parse/1` e `inet:parse address/1` do OTP não decodificam escapes de porcentagem no host, uma URL contendo caracteres codificados em porcentagem pode burlar validadores de lista de permissões (allowlist) que não reconhecem a string codificada como um endereço IP. Posteriormente, o normalizador decodifica o host (por exemplo, convertendo `%31%32%37%2E%30%2E%30%2E%31` para `127.0.0.1`), permitindo conexões TCP para a interface de loopback, serviços de metadados de instâncias de nuvem (169.254.169.254), redes RFC1918 e interfaces de administração locais. Isso ocorre porque a função `hackney:request/5` sempre invoca `hackney url:normalize/2` sem um mecanismo de exclusão para requisições que utilizam URLs binárias ou em lista. **Recomendações** Atualize o benoitc hackney para a versão 4.0.1.