CVE-2026-47067

Nome do Software Vulnerável e Versões Afetadas hackney versões 2.0.0 até 4.0.0

Descrição Um problema no analisador de URL em src/hackney url.erl permite a exaustão de recursos. O analisador utiliza a função binary to atom/2 para converter esquemas de URL não reconhecidos em átomos BEAM permanentes. Como os átomos BEAM não são coletados pelo garbage collector e a tabela de átomos possui um limite rígido de 1.048.576 entradas, um invasor pode esgotar essa tabela fornecendo URLs com prefixos de esquema personalizados. Isso pode ser feito por meio de alvos de requisição, URLs de webhook configuradas ou cabeçalhos Location durante redirecionamentos, resultando no travamento de toda a VM BEAM com um erro de system limit.

Recomendações Atualizar para a versão 4.0.1.