製品・ソフトウェアに関する情報

JVN脆弱性詳細

benoitcのhackneyにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性

Title	benoitcのhackneyにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Summary	benoitc hackneyにおけるリソースの制限やスロットリングなしに割り当てる脆弱性により、フラッディング攻撃が可能です。src/hackney_url.erlのURLパーサーは、認識されないURLスキームをすべてbinary_to_atom/2を使って恒久的なBEAMアトムに変換します。BEAMアトムはガベージコレクションされず、アトムテーブルのデフォルトの最大数は1,048,576エントリです。攻撃者は、攻撃者が選択したスキームプレフィックスを持つURLをリクエストターゲットとして直接設定したり、Webhook URLとして設定したり、またはリダイレクト時にLocationヘッダー経由で供給したりすることで、アトムテーブルを枯渇させ、システム制限によりBEAM VM全体をクラッシュさせることができます。この問題はhackney 2.0.0以降4.0.1未満に影響を与えます。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 25, 2026, midnight
Registration Date	May 29, 2026, 11:19 a.m.
Last Update	May 29, 2026, 11:19 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

benoitc

hackney 2.0.0 以上 4.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47067	https://www.cve.org/CVERecord?id=CVE-2026-47067
National Vulnerability Database (NVD)
2	CVE-2026-47067	https://nvd.nist.gov/vuln/detail/CVE-2026-47067

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	Name	URL
Erlang Ecosystem Foundation
1	Atom table exhaustion via unrecognized URL schemes in hackney \| Erlang Ecosystem Foundation CNA	https://cna.erlef.org/cves/CVE-2026-47067.html
GitHub
2	Atom-table exhaustion via unrecognized URL schemes Advisory benoitc/hackney GitHub	https://github.com/benoitc/hackney/security/advisories/GHSA-9653-rcfr-5c62
Open Source Vulnerabilities
3	EEF-CVE-2026-47067 - OSV	https://osv.dev/vulnerability/EEF-CVE-2026-47067

その他

No	Name	URL
関連文書
1	fix(security): prevent atom-table exhaustion via URL scheme (GHSA-9653) benoitc/hackney@31f6f0e GitHub	https://github.com/benoitc/hackney/commit/31f6f0e27e096ad88743dfded4f030a3ee74972e

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:19 a.m.

NVD Vulnerability Information

CVE-2026-47067

Summary	Allocation of Resources Without Limits or Throttling vulnerability in benoitc hackney allows Flooding. The URL parser in src/hackney_url.erl converts every unrecognized URL scheme to a permanent BEAM atom via binary_to_atom/2. BEAM atoms are never garbage-collected and the atom table defaults to a hard limit of 1,048,576 entries. An attacker who can supply URLs with attacker-chosen scheme prefixes — directly as request targets, as configured webhook URLs, or via Location headers followed during redirects — can exhaust the atom table and crash the entire BEAM VM with system_limit. This issue affects hackney: from 2.0.0 before 4.0.1.
Publication Date	May 26, 2026, 12:16 a.m.
Registration Date	May 27, 2026, 4:07 a.m.
Last Update	May 27, 2026, 10:52 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:benoitc:hackney::::::::		2.0.0			4.0.1

Related information, measures and tools

No	URL	refsource
1	https://cna.erlef.org/cves/CVE-2026-47067.html	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
2	https://github.com/benoitc/hackney/commit/31f6f0e27e096ad88743dfded4f030a3ee74972e	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
3	https://github.com/benoitc/hackney/security/advisories/GHSA-9653-rcfr-5c62	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
4	https://osv.dev/vulnerability/EEF-CVE-2026-47067	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
5	https://github.com/benoitc/hackney/security/advisories/GHSA-9653-rcfr-5c62	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html