CVE-2025-3864：Hackney未能正确释放HTTP连接到连接池

漏洞描述

Hackney在处理307临时重定向响应后，未能正确将HTTP连接释放回连接池。远程攻击者可利用此漏洞耗尽连接池，导致使用该库的应用程序遭受拒绝服务攻击。

该问题的修复已包含在1.24.0版本中。

受影响版本

• 受影响版本：< 1.24.0
• 已修复版本：1.24.0

技术细节

严重程度

• 严重等级：低
• CVSS总体评分：2.3/10

CVSS v4基础指标

可利用性指标：

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：存在
• 所需权限：无
• 用户交互：被动

脆弱系统影响指标：

• 机密性：无影响
• 完整性：无影响
• 可用性：低影响

后续系统影响指标：

• 机密性：无影响
• 完整性：无影响
• 可用性：无影响

弱点分类

• 弱点类型：CWE-772
• 描述：有效生命周期后未能释放资源

参考信息

• https://nvd.nist.gov/vuln/detail/CVE-2025-3864
• benoitc/hackney#717
• https://cert.pl/en/posts/2025/05/CVE-2025-3864

元数据

• CVE ID：CVE-2025-3864
• GHSA ID：GHSA-9fm9-hp7p-53mf
• 源代码仓库：benoitc/hackney
• 发布于NVD：2025年5月28日
• 发布于GitHub咨询数据库：2025年5月28日
• 最后更新：2025年5月28日