漏洞总结:EEF-CVE-2026-4702 漏洞概述 漏洞名称:CRLF Injection in WebSocket upgrade request in hackney 漏洞类型:HTTP Request/Response Splitting (CRLF Injection) CVSS 评分:6.9 (Medium) CVE 编号:CVE-2026-4702 GHSA 编号:GHSA-99vr-q2q2-x9fq CWE 编号:CWE-93 CAPEC 编号:CAPEC-33 影响范围 受影响软件:hackney 受影响版本:从 2.0.0 到 4.0.1 之前(2.0.0 <= x < 4.0.1) 漏洞描述: 在 中,WebSocket 升级代码存在 CRLF 注入漏洞。该漏洞允许攻击者通过控制 、 、 或 选项,将恶意数据注入到原始的 HTTP/1.1 升级请求中。由于在 函数中对这四个站点执行了二进制拼接,且未进行 CRLF 或 NUL 剥离,攻击者可以注入任意的 HTTP 头,导致头注入、凭据欺骗、服务器端请求伪造(SSRF)、日志投毒或请求走私等攻击。 修复方案 修复版本:升级到 4.0.1 或更高版本。 参考链接: - GHSA 安全公告 - NVD 详情