CVE-2026-47071

Nome do Software Vulnerável e Versões Afetadas hackney versões 0.10.0 até 4.0.0

Descrição O Consumo Não Controlado de Recursos no transporte SOCKS5 em src/hackney socks5.erl permite flooding. Embora o tempo limite fornecido pelo chamador seja aplicado durante a fase de negociação SOCKS5, a atualização da conexão para TLS através da função ssl:connect/2 assume um tempo limite infinito por padrão, pois a variável Timeout não é encaminhada. Consequentemente, um proxy SOCKS5 malicioso que complete o handshake e então fique inativo ou envie um TLS ServerHello parcial pode fazer com que o processo de conexão bloqueie indefinidamente, ignorando as opções connect timeout ou recv timeout.

Recomendações Atualize o hackney para a versão 4.0.1.