CVE-2026-47066

Nome do Software Vulnerável e Versões Afetadas hackney versões 2.0.0-beta.1 até 4.0.0

Descrição Um loop infinito existe no analisador do cabeçalho de resposta Alt-Svc em src/hackney altsvc.erl. Quando a função parse token/2 recebe um byte que não seja um token, espaço em branco ou vírgula (como !, @, = ou ;), ela retorna a entrada inalterada. Da mesma forma, a função skip comma/1 retorna o buffer inalterado se o primeiro byte não for uma vírgula. Isso faz com que a função parse entries/2 realize a recursão com dados idênticos, criando um loop recursivo de cauda infinito que consome 100% do escalonador de CPU e impede que o processo solicitante retorne. O ponto de entrada parse and cache/3 é chamado sincronicamente em cada resposta HTTP, o que significa que um cabeçalho de resposta Alt-Svc: ! de um único byte de qualquer origem HTTP pode causar o travamento.

Recomendações Atualize o hackney para a versão 4.0.1.