CVE-2026-47075

Nome do Software Vulnerável e Versões Afetadas hackney versões 0 a 4.0.0

Descrição A Neutralização Imprópria de Sequências CRLF permite a Divisão de Requisição HTTP (HTTP Request Splitting). O software não realiza a codificação percentual (percent-encode) de caracteres de retorno de carro (r) ou alimentação de linha ( ) no componente de consulta da URL antes de construir o alvo da requisição HTTP/1.1. Especificamente, a função hackney url:make url/3 passa o binário da consulta diretamente sem validação ou escape, violando a seção 3.4 da RFC 3986. Um atacante que controle parte de uma URL pode injetar sequências CRLF brutas na string de consulta, permitindo a injeção de cabeçalhos HTTP arbitrários ou a divisão da requisição HTTP.

Recomendações Atualizar para a versão 4.0.1.