Hackney HTTP连接池资源释放漏洞分析

本文详细分析了Hackney库中存在的HTTP连接池资源释放漏洞CVE-2025-3864。该漏洞在处理307临时重定向响应后未能正确释放连接，攻击者可利用此漏洞耗尽连接池，导致使用该库的应用程序遭受拒绝服务攻击。

CVE-2025-3864：Hackney未能正确释放HTTP连接到连接池

漏洞概述

包名: erlang/hackney (Erlang)
受影响版本: < 1.24.0
修复版本: 1.24.0
严重程度: 低危 (CVSS评分: 2.3)

漏洞描述

Hackney在处理307临时重定向响应后，未能正确将HTTP连接释放回连接池。远程攻击者可利用此漏洞耗尽连接池，导致使用该库的应用程序遭受拒绝服务攻击。

该问题的修复已包含在1.24.0版本中。

技术细节

CVSS v4基础指标

可利用性指标:

攻击向量: 网络
攻击复杂度: 低
攻击要求: 存在
所需权限: 无
用户交互: 被动

脆弱系统影响指标:

机密性: 无影响
完整性: 无影响
可用性: 低影响

后续系统影响指标:

机密性: 无影响
完整性: 无影响
可用性: 无影响

弱点分类

CWE-772: 有效生命周期后缺少资源释放
该产品在资源有效生命周期结束后（即资源不再需要时）未能释放资源。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-3864
benoitc/hackney#717
https://cert.pl/en/posts/2025/05/CVE-2025-3864

时间线

国家漏洞数据库发布: 2025年5月28日
GitHub咨询数据库发布: 2025年5月28日
审核时间: 2025年5月28日
最后更新: 2025年5月28日

漏洞标识

CVE ID: CVE-2025-3864
GHSA ID: GHSA-9fm9-hp7p-53mf
源代码: benoitc/hackney

comments powered by Disqus