CVE-2026-47072

Nome do Software Vulnerável e Versões Afetadas hackney versões 2.0.0 até 4.0.0

Description A Neutralização Imprópria de Sequências CRLF, também conhecida como CRLF Injection, permite a Divisão de Requisição/Resposta HTTP (HTTP Request/Response Splitting). O código de upgrade de WebSocket em src/hackney ws.erl copia o host, caminho, cabeçalhos (ExtraHeaders) e opções de protocolos do mapa de opções fornecido pelo chamador para o registro interno #ws data{} em init/1 e, em seguida, os insere literalmente na requisição de upgrade HTTP/1.1 bruta por concatenação binária em do handshake/1. Como nenhuma remoção de CRLF ou NUL é realizada nesses quatro pontos de injeção, um invasor que controle essas opções — por exemplo, encaminhando componentes de URL ou valores de cabeçalho de entradas não confiáveis para hackney ws:start link/1 — pode injetar cabeçalhos HTTP arbitrários na requisição de upgrade de WebSocket de saída. Isso pode levar à injeção de cabeçalhos, falsificação de credenciais (credential spoofing) para o servidor upstream, envenenamento de logs e cache, ou contrabando de requisições (request smuggling) via proxies intermediários.

Recommendations Atualizar para a versão 4.0.1.