CVE-2026-47076

Nome do Software Vulnerável e Versões Afetadas benoitc hackney versões 0.13.0 até 4.0.0

Descrição Um conflito de interpretação permite a ocorrência de Server Side Request Forgery (SSRF), uma falha onde um invasor pode induzir o servidor a fazer requisições para um local não pretendido. A função hackney url:normalize/2 decodifica a URL do componente de host após a URL ter sido analisada em um registro #hackney url{}. Como as funções uri string:parse/1 e inet:parse address/1 do OTP não decodificam escapes de porcentagem no host, uma URL contendo caracteres codificados em porcentagem pode burlar validadores de lista de permissões (allowlist) que não reconhecem a string codificada como um endereço IP. Posteriormente, o normalizador decodifica o host (por exemplo, convertendo %31%32%37%2E%30%2E%30%2E%31 para 127.0.0.1), permitindo conexões TCP para a interface de loopback, serviços de metadados de instâncias de nuvem (169.254.169.254), redes RFC1918 e interfaces de administração locais. Isso ocorre porque a função hackney:request/5 sempre invoca hackney url:normalize/2 sem um mecanismo de exclusão para requisições que utilizam URLs binárias ou em lista.

Recomendações Atualize o benoitc hackney para a versão 4.0.1.