製品・ソフトウェアに関する情報

JVN脆弱性詳細

benoitcのhackneyにおけるCRLF インジェクションの脆弱性

Title	benoitcのhackneyにおけるCRLF インジェクションの脆弱性
Summary	benoitc hackneyにおけるCRLFシーケンスの不適切な無害化の脆弱性により、HTTPリクエスト分割が可能となります。hackneyは、HTTP/1.1リクエストターゲットを構築する前にURLクエリコンポーネント内のキャリッジリターン（\r）やラインフィード（\n）文字をパーセントエンコードしません。RFC 3986第3.4節で定義された文法外の文字はパーセントエンコードが必要ですが、hackney_url:make_url/3はクエリのバイナリを検証やエスケープなしに直接渡します。攻撃者がhackneyに渡されるURLの全部または一部を制御できる場合、クエリ文字列に生のCRLFシーケンスを注入でき、それがリクエストターゲットのHTTP改行として送信されます。このため、任意のHTTPヘッダーの注入やHTTPリクエストの分割が可能になります。この問題はhackneyの0以上4.0.1未満のバージョンに影響を及ぼします。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 25, 2026, midnight
Registration Date	June 3, 2026, 3:35 p.m.
Last Update	June 3, 2026, 3:35 p.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Affected System

benoitc

hackney 4.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47075	https://www.cve.org/CVERecord?id=CVE-2026-47075
National Vulnerability Database (NVD)
2	CVE-2026-47075	https://nvd.nist.gov/vuln/detail/CVE-2026-47075

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

ベンダー情報

No	Name	URL
Erlang Ecosystem Foundation
1	CR/LF injection in query parameter in hackney \| Erlang Ecosystem Foundation CNA	https://cna.erlef.org/cves/CVE-2026-47075.html
GitHub
2	CR/LF injection in query parameter Advisory benoitc/hackney GitHub	https://github.com/benoitc/hackney/security/advisories/GHSA-j9wq-vxxc-94wf
Open Source Vulnerabilities
3	EEF-CVE-2026-47075 - OSV	https://osv.dev/vulnerability/EEF-CVE-2026-47075

その他

No	Name	URL
関連文書
1	fix(security): reject CR/LF/NUL in request target (GHSA-j9wq) benoitc/hackney@ca73dd0 GitHub	https://github.com/benoitc/hackney/commit/ca73dd0aba0ed557449c18288bf07241671a43c9

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 3:35 p.m.

NVD Vulnerability Information

CVE-2026-47075

Summary	Improper Neutralization of CRLF Sequences vulnerability in benoitc hackney allows HTTP Request Splitting. hackney does not percent-encode carriage return (\r) or line feed (\n) characters in the URL query component before constructing the HTTP/1.1 request target. Characters outside the grammar defined in RFC 3986 Section 3.4 must be percent-encoded, but hackney_url:make_url/3 passes the query binary directly without validation or escaping. An attacker who can control all or part of a URL passed to hackney can inject raw CRLF sequences into the query string, which are then sent as HTTP line breaks in the request target. This enables injection of arbitrary HTTP headers or splitting of the HTTP request. This issue affects hackney: from 0 before 4.0.1.
Publication Date	May 26, 2026, 12:16 a.m.
Registration Date	May 27, 2026, 4:07 a.m.
Last Update	May 29, 2026, 5:26 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:benoitc:hackney::::::::					4.0.1

Related information, measures and tools

No	URL	refsource
1	https://cna.erlef.org/cves/CVE-2026-47075.html	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
2	https://github.com/benoitc/hackney/commit/ca73dd0aba0ed557449c18288bf07241671a43c9	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
3	https://github.com/benoitc/hackney/security/advisories/GHSA-j9wq-vxxc-94wf	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
4	https://osv.dev/vulnerability/EEF-CVE-2026-47075	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
5	https://github.com/benoitc/hackney/security/advisories/GHSA-j9wq-vxxc-94wf	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html