CVE-2026-47069

Nome do Software Vulnerável e Versões Afetadas hackney versões 0.9.0 até 4.0.0

Descrição A Neutralização Imprópria de Sequências CRLF, também conhecida como CRLF Injection, permite a Divisão de Resposta HTTP (HTTP Response Splitting). A função setcookie/3 em src/hackney cookie.erl valida os argumentos Name e Value contra caracteres de controle e CRLF, mas concatena as opções de domínio e caminho no iolist de saída sem verificações equivalentes. Um invasor que controle essas opções, como ao fornecer um valor de cabeçalho Host como o domínio do cookie ou um caminho de solicitação como o caminho do cookie, pode injetar sequências CRLF literais e cabeçalhos Set-Cookie adicionais arbitrários na resposta HTTP.

Recomendações Atualize para a versão 4.0.1.