JVNDB-2026-017296

benoitcのhackneyにおける複数の脆弱性

benoitc hackneyにおける解釈の競合脆弱性により、サーバーサイドリクエストフォージェリ（SSRF）が発生します。hackney_url:normalize/2はURLを#hackney_url{}レコードに解析した後にホスト部分をURLデコードします。一方、OTPのuri_string:parse/1およびinet:parse_address/1はホスト内のパーセントエスケープをデコードしないため、http://%31%32%37%2E%30%2E%30%2E%31/のようなURLは呼び出し元のホワイトリストバリデータからホストを%31%32%37%2E%30%2E%30%2E%31（IPアドレスではない）として認識し、ホワイトリストチェックを通過します。その後、hackneyの正規化処理がホストを127.0.0.1にデコードし、ループバックへのTCP接続を開きます。hackney:request/5は常にhackney_url:normalize/2をオプトアウトなしで呼び出すため、バイナリまたはリスト形式のURLを取るすべてのリクエストが影響を受けます。同様の手法でクラウドインスタンスのメタデータサービス（169.254.169.254）、RFC1918のネットワーク、localhostで待ち受ける管理インターフェースにもアクセス可能です。この問題はhackneyのバージョン0.13.0から4.0.1未満に影響します。

benoitc

• hackney 0.13.0 以上 4.0.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
・当該ソフトウェアが扱う情報について、書き換えは発生しません。
・当該ソフトウェアは停止しません。

ベンダ情報を参照して適切な対策を実施してください。

Erlang Ecosystem Foundation

• Erlang Ecosystem Foundation : SSRF allowlist bypass via percent-encoded host in hackney | Erlang Ecosystem Foundation CNA

GitHub

• GitHub : SSRF allowlist bypass in hackney_url:normalize/2 via percent-encoded host  Advisory  benoitc/hackney  GitHub

Open Source Vulnerabilities

• Open Source Vulnerabilities : EEF-CVE-2026-47076 - OSV

1. 解釈の競合(CWE-436) [その他]
2. サーバサイドのリクエストフォージェリ(CWE-918) [その他]

1. CVE-2026-47076

1. National Vulnerability Database (NVD) : CVE-2026-47076
2. 関連文書 : fix(security): refuse pct-encoded host that decodes to an IP (GHSA-pj7v)  benoitc/hackney@452620a  GitHub

• [2026年05月29日]
    掲載