EEF-CVE-2026-47075 漏洞总结 漏洞概述 漏洞名称: Improper Neutralization of CRLF Sequences vulnerability in benoit hackney allows HTTP Request Splitting 漏洞编号: CVE-2026-47075 严重程度: 9.8 (Critical) CVSS 评分: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/RV:N/SC:H/SA:N 详细描述: 该漏洞存在于 库中。由于在构建 HTTP/1.1 请求目标之前,未对 URL 查询组件中的回车符 ( ) 或换行符 ( ) 进行百分号编码,导致存在 HTTP 请求拆分风险。 根据 RFC 3986 第 3.4 节,查询组件中的字符必须是百分号编码的。 函数在传递查询目标时未进行验证或转义。 攻击者若能控制 URL 中的查询部分,即可注入恶意 CRLF 序列。 这些序列会被作为 HTTP 行中断符发送,从而允许注入任意 HTTP 头或拆分 HTTP 请求。 影响范围 受影响组件: 受影响版本: 0 到 4.0.1 (0 <= version < 4.0.1) 修复方案 升级版本: 请升级 库至 4.0.1 或更高版本。 参考链接 CNA Entry GitHub Advisory GitHub Commit