漏洞总结:EEF-CVE-2026-47067 漏洞概述 漏洞名称:EEF-CVE-2026-47067 漏洞类型:资源耗尽(Allocation of Resources Without Limits or Throttling) 漏洞描述:在 项目中,URL 解析器 会将所有未识别的 URL 方案转换为永久性的 BEAM atom(通过 )。由于 BEAM atom 不会被垃圾回收,且 atom 表默认限制为 1048576 个,攻击者可通过提供带有自定义方案前缀的 URL(如请求头或重定向中的 Location 头)来耗尽 atom 表,导致整个 BEAM VM 崩溃。 严重程度:9.7 (High) CVSS 评分:CVSS:3.1/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VA:N/SC:N/SI:N/SA:N 影响范围 受影响软件: 受影响版本:从 2.0.0 到 4.0.1(不含 4.0.1) 修复方案 修复版本:升级至 4.0.1 或更高版本。 参考链接: - GitHub 修复提交:https://github.com/benoitc/hackney/commit/f31ff60e22e969ad887d34f04303ce74972c - GitHub 修复 PR:https://github.com/benoitc/hackney/pull/742 其他信息 发布日期:2026-05-25 修改日期:2026-05-25 来源: - CNA: https://cna.ariel.org/osv/EEF-CVE-2026-47067.html - JSON: https://cna.ariel.org/osv/EEF-CVE-2026-47067.json - API: https://api.osv.dev/v1/vulns/EEF-CVE-2026-47067 别名: - GHSA-9653-rcfr-5c62 - CVE-2026-47067 - CVE-2026-47067 数据库标识: - CPE: - CWE: CWE-770 - CAPEC: CAPEC-125