Hackney库HTTP连接池漏洞CVE-2025-3864技术分析

本文详细分析了Erlang HTTP客户端库Hackney中的一个安全漏洞(CVE-2025-3864)。该漏洞导致库在处理307临时重定向响应后,无法正确将HTTP连接释放回连接池。攻击者可利用此漏洞耗尽连接池资源,导致依赖该库的应用程序发生拒绝服务。漏洞已在1.24.0版本中修复。

Hackney未能正确将HTTP连接释放回连接池 · CVE-2025-3864 · GitHub Advisory Database

漏洞概述

CVE ID: CVE-2025-3864 GHSA ID: GHSA-9fm9-hp7p-53mf 严重等级: 低 (CVSS分数: 2.3) 影响包: erlang / hackney (Erlang) 受影响版本: < 1.24.0 已修复版本: 1.24.0

漏洞描述

Hackney库在处理307临时重定向响应后,未能正确将HTTP连接释放回连接池。远程攻击者可以利用此漏洞耗尽连接池,导致使用该库的应用程序发生拒绝服务(DoS)。

此问题的修复已包含在1.24.0版本中。

技术细节

CVSS v4 基准指标

利用指标:

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 攻击要求: 存在
  • 所需权限: 无
  • 用户交互: 被动

易受攻击系统影响指标:

  • 机密性影响: 无
  • 完整性影响: 无
  • 可用性影响: 低

后续系统影响指标:

  • 机密性影响: 无
  • 完整性影响: 无
  • 可用性影响: 无

CVSS v4向量字符串: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

EPSS评分

EPSS分数: 0.294% (第52百分位) 此分数估计了该漏洞在未来30天内被利用的概率。

弱点分类

弱点: CWE-772 - 有效生命周期后资源未释放 该产品在资源的有效生命周期结束后(即资源不再需要后)未能释放资源。

参考链接

时间线

  • 国家漏洞数据库发布时间: 2025年5月28日
  • GitHub Advisory Database发布时间: 2025年5月28日
  • 审核时间: 2025年5月28日
  • 最后更新时间: 2025年5月28日

源代码

  • benoitc/hackney

注意: Dependabot警报在此公告涉及的部分或所有生态系统中不受支持。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次