CVE-2026-47076: hackney SSRF 绕过 漏洞概述 在 库中, 函数存在解释冲突漏洞。该函数在解析 URL 后对主机部分进行 URL 解码,但 OTP 的 和 不会解码主机中的百分号转义字符。 攻击者可以通过构造包含百分号编码的 URL(如 ),绕过调用者的 allowlist 验证。验证通过后, 的规范化器会将主机解码为 并建立 TCP 连接,导致循环请求。由于 默认无超时限制,任何需要二进制或列表接口的本地服务均受影响。 影响范围 受影响组件: 受影响版本: 之前至 CVSS 评分: 6.9 (Medium) CWE: CWE-436 (解释冲突) CAPEC: CAPEC-664 (服务器端请求伪造) 修复方案 修复版本: 及以上 修复文件: 修复模块: 修复例程: 参考链接 GitHub Advisory OSV.dev GitHub Commit 致谢 发现者: Ganbagana 修复开发者: Benoit Chesneau 分析师: Jonatan Männchen