漏洞总结:hackney WebSocket 客户端无界内存消耗 漏洞概述 漏洞编号:CVE-2026-47073 漏洞类型:资源分配无限制/无节流 (CWE-400) CVSS 评分:8.7 (高危) 描述:在 库的 WebSocket 客户端实现中,存在三个代码路径未对内存消耗设置上限,导致攻击者可通过控制 WebSocket 服务器使客户端内存耗尽(OOM)。 1. :接收字节累积到无大小限制的缓冲区,直到内存耗尽。 2. 和 :未验证声明的帧载荷长度,允许发送超大帧导致内存溢出。 3. 中的 字段:无限累积非最终帧,导致无界增长。 影响范围 受影响组件: 库 受影响版本:从 2.0.0 到 4.0.1 受影响模块: 受影响源文件: 受影响例程: 修复方案 修复版本:4.0.1 修复方式:升级 库至 4.0.1 或更高版本。 相关链接: GitHub Advisory: https://github.com/benoitc/hackney/security/advisories/GHSA-q8jg-fg4-fphl OSV: https://osv.dev/vulnerability/EEF-CVE-2026-47073 Patch: https://github.com/benoitc/hackney/commit/0f03e2970ace6e20f29baed05c3ac22ec6dc Credits Finder: Peter Ullrich Remediation developer: Benoit Chesneau Analyst**: Jonatan Männchen