CVE-2026-4705: hackney 查询参数中的 CR/LF 注入漏洞 漏洞概述 漏洞编号: CVE-2026-4705 CVSS 评分: 6.8 (Medium) CWE 分类: CWE-93 (Improper Neutralization of CRLF Sequences) 描述: 在 库中, 函数在构建 HTTP 请求目标时,未对 URL 查询组件中的回车符 (CR) 或换行符 (LF) 进行百分号编码。攻击者可以通过控制 URL 中的查询字符串注入原始的 CRLF 序列,从而注入任意 HTTP 标头或拆分 HTTP 请求。 影响范围 受影响软件: hackney 受影响版本: 0 到 4.0.1 (不含 4.0.1) 受影响模块: 受影响文件: 受影响函数: 修复方案 修复版本: 4.0.1 及以上 修复状态: 已修复 参考链接: GitHub Advisory: https://github.com/benoit/hackney/security/advisories/GHSA-j9wq-vxxc-94xf OSV 记录: https://osv.dev/vulnerability/EEF-CVE-2026-47075 * 修复提交: https://github.com/benoit/hackney/commit/ca73d0a9ba0ed557449c82886b07241671a43c3