CVE-2026-47077

Nome do Software Vulnerável e Versões Afetadas hackney versões 2.0.0 a 4.0.0

Descrição Uma alocação de recursos sem limites ou controle de fluxo permite a inundação (flooding). A função await response loop/6 em hackney h3 acumula o corpo da resposta HTTP/3 na memória sem um limite de tamanho. Como a cláusula de tempo limite funciona como um temporizador de inatividade por mensagem que é redefinido ao receber chunks, mensagens de manutenção ou quadros de configuração, em vez de um prazo fixo, um servidor HTTP/3 malicioso pode manter o loop ativo indefinidamente. Ao emitir pequenos chunks pouco antes da expiração do tempo limite com Fin definido como falso e omitindo um quadro final, o servidor faz com que o buffer de acumulação cresça linearmente, esgotando o heap do processo BEAM e levando a uma condição de falta de memória (out-of-memory). Este problema ocorre quando a aplicação utiliza o transporte HTTP/3 através do hackney h3 ou ao passar {transport, h3} para hackney:request/5.

Recomendações Atualize para a versão 4.0.1. Como mitigação temporária, evite usar o transporte HTTP/3, não chamando o hackney h3 diretamente e evitando a opção {transport, h3} em hackney:request/5.