製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

benoitcのhackneyにおけるCRLF インジェクションの脆弱性

タイトル	benoitcのhackneyにおけるCRLF インジェクションの脆弱性
概要	benoitc hackneyにおけるCRLFシーケンスの不適切な無害化（「CRLFインジェクション」）の脆弱性により、HTTPリクエスト/レスポンス分割が可能になります。src/hackney_ws.erlのWebSocketアップグレードコードは、callerが渡すoptsマップからhost、path、headers（ExtraHeaders）、protocolsオプションをinit/1内で内部の#ws_data{}レコードにコピーし、その後do_handshake/1でバイナリ連結によりそれらを生のHTTP/1.1アップグレードリクエストにそのまま挿入します。これら4か所のインジェクション箇所のいずれでもCRLFやNULの除去は行われません。攻撃者は、例えば信頼できない入力からのURLの一部やヘッダー値をhackney_ws:start_link/1にフォワードすることで、これらのオプションのいずれかを制御可能であれば、任意のHTTPヘッダーを送信先WebSocketアップグレードリクエストに注入できます。これにより、ヘッダーインジェクションや上流サーバーに対する資格情報のなりすまし、ログやキャッシュの汚染、中間プロキシを介したリクエストスマグリングを引き起こす可能性があります。この問題はhackneyのバージョン2.0.0から4.0.1未満に影響があります。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月25日0:00
登録日	2026年6月3日15:35
最終更新日	2026年6月3日15:35

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

影響を受けるシステム

benoitc

hackney 2.0.0 以上 4.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47072	https://www.cve.org/CVERecord?id=CVE-2026-47072
National Vulnerability Database (NVD)
2	CVE-2026-47072	https://nvd.nist.gov/vuln/detail/CVE-2026-47072

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

ベンダー情報

No	名前	URL
Erlang Ecosystem Foundation
1	CRLF injection in WebSocket upgrade request in hackney \| Erlang Ecosystem Foundation CNA	https://cna.erlef.org/cves/CVE-2026-47072.html
GitHub
2	CRLF / header injection in WebSocket upgrade request Advisory benoitc/hackney GitHub	https://github.com/benoitc/hackney/security/advisories/GHSA-f9vr-g2g2-x9fg
Open Source Vulnerabilities
3	EEF-CVE-2026-47072 - OSV	https://osv.dev/vulnerability/EEF-CVE-2026-47072

その他

No	名前	URL
関連文書
1	fix(security): reject CR/LF/NUL in WebSocket upgrade request (GHSA-f9vr) benoitc/hackney@52310ca GitHub	https://github.com/benoitc/hackney/commit/52310ca807e7b48441ba0e9129171f535313fdd1

変更履歴

No	変更内容	変更日
1	[2026年06月03日] 掲載	2026年6月3日15:35

NVD脆弱性情報

CVE-2026-47072

概要	Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in benoitc hackney allows HTTP Request/Response Splitting. The WebSocket upgrade code in src/hackney_ws.erl copies the host, path, headers (ExtraHeaders), and protocols options from the caller-supplied opts map into the internal #ws_data{} record in init/1 and then splices them verbatim into the raw HTTP/1.1 upgrade request by binary concatenation in do_handshake/1. No CRLF or NUL stripping is performed at any of these four injection sites. An attacker who controls any of these options — for example by forwarding URL components or header values from untrusted input into hackney_ws:start_link/1 — can inject arbitrary HTTP headers into the outbound WebSocket upgrade request, leading to header injection, credential spoofing toward the upstream server, log and cache poisoning, or request smuggling via intermediary proxies. This issue affects hackney: from 2.0.0 before 4.0.1.
公表日	2026年5月26日0:16
登録日	2026年5月27日4:07
最終更新日	2026年5月29日5:27

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:benoitc:hackney::::::::		2.0.0			4.0.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://cna.erlef.org/cves/CVE-2026-47072.html	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
2	https://github.com/benoitc/hackney/commit/52310ca807e7b48441ba0e9129171f535313fdd1	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
3	https://github.com/benoitc/hackney/security/advisories/GHSA-f9vr-g2g2-x9fg	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
4	https://osv.dev/vulnerability/EEF-CVE-2026-47072	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
5	https://github.com/benoitc/hackney/security/advisories/GHSA-f9vr-g2g2-x9fg	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html