CVE-2025-1211

Nome do Software Vulnerável e Versões Afetadas: versões do hackney 0.0.0 e posteriores

Descrição: O problema surge devido ao processamento inadequado de URLs pelo módulo embutido URI e pelo hackney, levando à Falsificação de Solicitação no Lado do Servidor (SSRF). Dada uma URL como http://127.0.0.1?@127.2.2.2/, a função URI identifica corretamente o host como 127.0.0.1, mas o hackney incorretamente interpreta o host como 127.2.2.2/. Isso pode ser explorado quando os usuários dependem da função de URL para verificação de host.

Recomendações: Para versões do hackney 0.0.0 e posteriores, considere desativar a funcionalidade de processamento de URL até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o módulo URI para verificação de host nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.