benoitcのhackneyにおける複数の脆弱性
| Title |
benoitcのhackneyにおける複数の脆弱性
|
| Summary |
benoitc hackneyにおける解釈の競合脆弱性により、サーバーサイドリクエストフォージェリ(SSRF)が発生します。hackney_url:normalize/2はURLを#hackney_url{}レコードに解析した後にホスト部分をURLデコードします。一方、OTPのuri_string:parse/1およびinet:parse_address/1はホスト内のパーセントエスケープをデコードしないため、http://%31%32%37%2E%30%2E%30%2E%31/のようなURLは呼び出し元のホワイトリストバリデータからホストを%31%32%37%2E%30%2E%30%2E%31(IPアドレスではない)として認識し、ホワイトリストチェックを通過します。その後、hackneyの正規化処理がホストを127.0.0.1にデコードし、ループバックへのTCP接続を開きます。hackney:request/5は常にhackney_url:normalize/2をオプトアウトなしで呼び出すため、バイナリまたはリスト形式のURLを取るすべてのリクエストが影響を受けます。同様の手法でクラウドインスタンスのメタデータサービス(169.254.169.254)、RFC1918のネットワーク、localhostで待ち受ける管理インターフェースにもアクセス可能です。この問題はhackneyのバージョン0.13.0から4.0.1未満に影響します。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 25, 2026, midnight |
| Registration Date |
May 29, 2026, 11:19 a.m. |
| Last Update |
May 29, 2026, 11:19 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.5
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Affected System
| benoitc |
|
hackney 0.13.0 以上 4.0.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月29日]
掲載 |
May 29, 2026, 11:19 a.m. |
NVD Vulnerability Information
CVE-2026-47076
| Summary |
Interpretation Conflict vulnerability in benoitc hackney allows Server Side Request Forgery. hackney_url:normalize/2 URL-decodes the host component after the URL has been parsed into a #hackney_url{} record. OTP's uri_string:parse/1 and inet:parse_address/1 do not decode percent-escapes in the host, so a URL such as http://%31%32%37%2E%30%2E%30%2E%31/ is seen by a caller's allowlist validator with host %31%32%37%2E%30%2E%30%2E%31 (not an IP address), which passes the allowlist check. hackney's normalizer then decodes the host to 127.0.0.1 and opens a TCP connection to loopback. Because hackney:request/5 always calls hackney_url:normalize/2 with no opt-out, every request that takes a binary or list URL is affected. The same technique reaches cloud instance metadata services (169.254.169.254), RFC1918 networks, and any admin interface listening on localhost.
This issue affects hackney: from 0.13.0 before 4.0.1.
|
| Publication Date |
May 26, 2026, 12:16 a.m. |
| Registration Date |
May 27, 2026, 4:07 a.m. |
| Last Update |
May 27, 2026, 10:51 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:benoitc:hackney:*:*:*:*:*:*:*:* |
0.13.0 |
|
|
4.0.1 |
Related information, measures and tools
Common Vulnerabilities List