| CVE ID | CVE-2025-3864 |
| Data publikacji | 28 maja 2025 |
| Producent podatnego oprogramowania | hackney |
| Nazwa podatnego oprogramowania | hackney |
| Podatne wersje | Wszystkie do 1.24.0 |
| Typ podatności (CWE) | Missing Release of Resource after Effective Lifetime (CWE-772) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu hackney i koordynował proces ujawniania informacji.
Podatność CVE-2025-3864: Biblioteka hackney nieprawidłowo zwalnia połączenia HTTP do puli po obsłużeniu odpowiedzi 307 Temporary Redirect. Zdalni atakujący mogą wykorzystać ten problem do wyczerpania puli połączeń, co prowadzi do odmowy usługi (DoS) w aplikacjach korzystających z tej biblioteki. Poprawka dla tej podatności została zawarta w wersji 1.24.0.
Podziękowania
Za zgłoszenie podatności dziękujemy członkom zespołu Afine: Michałowi Majchrowiczowi, Marcinowi Wyczechowskiemu oraz Pawłowi Zdunkowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.