CVE-2025-3864

包 erlang hackney (Erlang)

受影响版本 < 1.24.0

已修复版本 1.24.0

描述

Hackney在处理307临时重定向响应后，未能正确将HTTP连接释放回连接池。远程攻击者可利用此漏洞耗尽连接池，导致使用该库的应用程序发生拒绝服务。 此问题的修复已包含在1.24.0版本中。

参考

• https://nvd.nist.gov/vuln/detail/CVE-2025-3864
• benoitc/hackney#717
• https://cert.pl/en/posts/2025/05/CVE-2025-3864

发布日期（国家漏洞数据库） 2025年5月28日

发布到GitHub咨询数据库日期 2025年5月28日

审核日期 2025年5月28日

最后更新日期 2025年5月28日

严重程度 低 CVSS总体评分：2.3 / 10

CVSS v4 基础指标

• 攻击向量： 网络
• 攻击复杂度： 低
• 攻击前提： 存在
• 所需权限： 无
• 用户交互： 被动

脆弱系统影响指标

• 机密性： 无影响
• 完整性： 无影响
• 可用性： 低

后续系统影响指标

• 机密性： 无影响
• 完整性： 无影响
• 可用性： 无影响

CVSS:4.0向量字符串 AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

EPSS分数 0.315% (第54百分位)

弱点

• 弱点ID： CWE-772
• 描述： 有效生命周期后资源未释放。产品在资源的有效生命周期结束后（即资源不再需要后）未释放该资源。

CVE ID CVE-2025-3864

GHSA ID GHSA-9fm9-hp7p-53mf

源代码 benoitc/hackney