CVE-2026-47073

Nome do Software Vulnerável e Versões Afetadas hackney versões 2.0.0 a 4.0.0

Descrição O cliente WebSocket em src/hackney ws.erl não impõe limites superiores ao consumo de memória em três caminhos de código, permitindo inundação (flooding). Primeiro, a função read handshake response/3 acumula bytes recebidos em um buffer sem limite de tamanho; um servidor que transmite bytes sem a sequência de terminação necessária faz com que o buffer cresça até que a memória seja esgotada. Segundo, as funções parse payload/9 e parse active payload/8 não validam o comprimento declarado da carga útil do frame, que pode chegar a 2^63-1 bytes conforme a RFC 6455, levando a condições de Out-of-Memory (OOM) quando um servidor anuncia um frame muito grande. Terceiro, o campo frag buffer em #ws data{} acumula frames de continuação indefinidamente se um servidor enviar um fluxo de frames fragmentados não finais sem um frame final. Um invasor precisa apenas controlar o servidor WebSocket ao qual o cliente se conecta, sem a necessidade de autenticação ou configuração especial.

Recomendações Atualizar para a versão 4.0.1.