製品・ソフトウェアに関する情報

JVN脆弱性詳細

benoitcのhackneyにおけるリソースの枯渇に関する脆弱性

Title	benoitcのhackneyにおけるリソースの枯渇に関する脆弱性
Summary	benoitc hackney におけるリソースの割り当てが、制限やスロットリングなしで行われる脆弱性により、フラッディングが可能です。hackney_h3:await_response_loop/6 は HTTP/3 のレスポンスボディをサイズ制限なくメモリに蓄積します。after Timeout 句は、受信したチャンク、ハウスキーピングメッセージ、または設定フレームごとにリセットされるメッセージ単位の非アクティビティタイマーであり、絶対的な締め切り時間を示すものではありません。悪意のある HTTP/3 サーバーが Timeout - 1 ミリ秒ごとに Fin = false の小さなチャンクを送信しつつ最終フレームを送らない場合、ループは無期限に継続し、蓄積バッファは制限なく線形に増加し続けます。その結果、最終的に BEAM プロセスのヒープを枯渇させ、メモリ不足状態を引き起こします。この問題は hackney バージョン 2.0.0 から 4.0.1 未満のバージョンに影響を与えます。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 25, 2026, midnight
Registration Date	May 29, 2026, 11:19 a.m.
Last Update	May 29, 2026, 11:19 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

benoitc

hackney 2.0.0 以上 4.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47077	https://www.cve.org/CVERecord?id=CVE-2026-47077
National Vulnerability Database (NVD)
2	CVE-2026-47077	https://nvd.nist.gov/vuln/detail/CVE-2026-47077

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	Name	URL
Erlang Ecosystem Foundation
1	Unbounded body accumulation in HTTP/3 response loop in hackney \| Erlang Ecosystem Foundation CNA	https://cna.erlef.org/cves/CVE-2026-47077.html
GitHub
2	Per-chunk timeout with unbounded body accumulation enables slow-drip OOM Advisory benoitc/hackney GitHub	https://github.com/benoitc/hackney/security/advisories/GHSA-jq4m-q6p2-8gwc
Open Source Vulnerabilities
3	EEF-CVE-2026-47077 - OSV	https://osv.dev/vulnerability/EEF-CVE-2026-47077

その他

No	Name	URL
関連文書
1	fix(security): bound HTTP/3 response buffering (GHSA-jq4m) benoitc/hackney@3d25f9f GitHub	https://github.com/benoitc/hackney/commit/3d25f9fea26c90609de9d64366fedfe5065413bc

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:19 a.m.

NVD Vulnerability Information

CVE-2026-47077

Summary	Allocation of Resources Without Limits or Throttling vulnerability in benoitc hackney allows Flooding. hackney_h3:await_response_loop/6 accumulates the HTTP/3 response body in memory without any size cap. The after Timeout clause is a per-message inactivity timer that resets on every received chunk, housekeeping message, or settings frame — it is not a wall-clock deadline. A malicious HTTP/3 server that emits one small chunk every Timeout - 1 ms with Fin = false and never sends a final frame keeps the loop alive indefinitely while the accumulation buffer grows linearly without bound, eventually exhausting the BEAM process heap and causing an out-of-memory condition. This issue affects hackney: from 2.0.0 before 4.0.1.
Publication Date	May 26, 2026, 12:16 a.m.
Registration Date	May 27, 2026, 4:07 a.m.
Last Update	May 27, 2026, 10:53 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:benoitc:hackney::::::::		2.0.0			4.0.1

Related information, measures and tools

No	URL	refsource
1	https://cna.erlef.org/cves/CVE-2026-47077.html	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
2	https://github.com/benoitc/hackney/commit/3d25f9fea26c90609de9d64366fedfe5065413bc	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
3	https://github.com/benoitc/hackney/security/advisories/GHSA-jq4m-q6p2-8gwc	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
4	https://osv.dev/vulnerability/EEF-CVE-2026-47077	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
5	https://github.com/benoitc/hackney/security/advisories/GHSA-jq4m-q6p2-8gwc	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html