JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017350 benoitc hackneyにおけるCRLFシーケンスの不適切な無害化（「CRLFインジェクション」）の脆弱性により、HTTPリクエスト/レスポンス分割が可能になります。src/hackney_ws.erlのWebSocketアップグレードコードは、callerが渡すoptsマップからhost、path、headers（ExtraHeaders）、protocolsオプションをinit/1内で内部の#ws_data{}レコードにコピーし、その後do_handshake/1でバイナリ連結によりそれらを生のHTTP/1.1アップグレードリクエストにそのまま挿入します。これら4か所のインジェクション箇所のいずれでもCRLFやNULの除去は行われません。攻撃者は、例えば信頼できない入力からのURLの一部やヘッダー値をhackney_ws:start_link/1にフォワードすることで、これらのオプションのいずれかを制御可能であれば、任意のHTTPヘッダーを送信先WebSocketアップグレードリクエストに注入できます。これにより、ヘッダーインジェクションや上流サーバーに対する資格情報のなりすまし、ログやキャッシュの汚染、中間プロキシを介したリクエストスマグリングを引き起こす可能性があります。この問題はhackneyのバージョン2.0.0から4.0.1未満に影響があります。 cpe:/a:benoitc:hackney https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017350.html Common Vulnerabilities and Exposures (CVE) CVE-2026-47072 https://www.cve.org/CVERecord?id=CVE-2026-47072 National Vulnerability Database (NVD) CVE-2026-47072 https://nvd.nist.gov/vuln/detail/CVE-2026-47072 Erlang Ecosystem Foundation CRLF injection in WebSocket upgrade request in hackney | Erlang Ecosystem Foundation CNA https://cna.erlef.org/cves/CVE-2026-47072.html GitHub CRLF / header injection in WebSocket upgrade request Advisory benoitc/hackney GitHub https://github.com/benoitc/hackney/security/advisories/GHSA-f9vr-g2g2-x9fg JVNDB CWE-93 https://cwe.mitre.org/data/definitions/93.html Open Source Vulnerabilities EEF-CVE-2026-47072 - OSV https://osv.dev/vulnerability/EEF-CVE-2026-47072 関連文書 fix(security): reject CR/LF/NUL in WebSocket upgrade request (GHSA-f9vr) benoitc/hackney@52310ca GitHub https://github.com/benoitc/hackney/commit/52310ca807e7b48441ba0e9129171f535313fdd1 2026-06-03T15:35:07+09:00 2026-06-03T15:35:07+09:00