CVE-2026-47077: hackney HTTP/3 响应循环中无界体累积漏洞 漏洞概述 在 库的 HTTP/3 响应处理逻辑中,存在资源分配无限制漏洞(CWE-400)。函数 在内存中累积 HTTP/3 响应体,且没有大小上限。 该漏洞利用 子句(每收到一个 chunk 或消息时重置的计时器)的特性。恶意 HTTP/3 服务器可以每隔 发送一个带有 的小 chunk,且从不发送最终帧。这会导致循环无限期存活,累积缓冲区线性增长,最终耗尽 BEAM 进程堆内存,导致服务拒绝(DoS)。 影响范围 受影响组件: 受影响版本: 2.0.0 到 4.0.1 (不含 4.0.1) CVSS 评分: 8.2 (High) 触发条件: 应用程序必须使用 HTTP/3 传输(通过直接调用 或传递 给 )。默认的 HTTP/1.1 (TCP/TLS) 不受影响。 修复方案 修复版本: 4.0.1 修复提交: 参考链接 安全公告: GHSA-jq4m-q5p2-8gwc OSV 详情: CVE-2026-47077 修复 Commit**: GitHub Commit