CVE-2026-47072: Hackney WebSocket 升级请求中的 CRLF 注入漏洞 漏洞概述 在 库中,WebSocket 升级代码( )存在 CRLF 注入漏洞。该漏洞允许攻击者通过向 函数传递包含特殊字符(如 URL 组件或标头值)的选项,将任意 HTTP 标头注入到出站 WebSocket 升级请求中。 由于代码在 中从调用者提供的选项映射中提取 、 、 和 ,并通过二进制拼接将其拼接到原始 HTTP/1.1 升级请求中,且未进行 CRLF 或 NUL 剥离,导致攻击者可以实现: 标头注入 上游服务器凭据欺骗 日志和缓存投毒 通过中间代理进行请求走私 影响范围 受影响版本:hackney 2.0.0 至 4.0.1(不含 4.0.1) 受影响模块: 受影响源文件: 受影响例程: - - 修复方案 修复版本:4.0.1 Git 修复提交: 修复方式:在拼接请求前对输入数据进行 CRLF/NUL 剥离或严格验证,防止恶意标头注入。 参考链接 GitHub Advisory: https://github.com/benoitc/hackney/security/advisories/CHSA-f9vr-g2g2-x9fg OSV 数据库: https://osv.dev/vulnerability/EEF-CVE-2026-47072 修复提交: https://github.com/benoitc/hackney/commit/52310ca807f7b48441ba0e9129f7f5353f3fd1 Credits Finder: Peter Ullrich Remediation developer: Benoît Chesneau Analyst: Jónatan Männchen