Uncontrolled Resource Consumption vulnerability in benoitc hackney allows Flooding. The SOCKS5 transport in src/hackney_socks5.erl correctly applies the caller-supplied timeout to the SOCKS5 negotiation phase, but then upgrades the connection to TLS using the two-argument form ssl:connect/2, which defaults to an infinite timeout. The Timeout value is in scope at the call site but is not forwarded. A hostile SOCKS5 proxy that completes the SOCKS5 handshake normally and then goes silent (or sends a partial TLS ServerHello and stalls) will cause the connecting process to block indefinitely, regardless of the connect_timeout or recv_timeout options supplied by the caller.
This issue affects hackney: from 0.10.0 before 4.0.1.
CVE-2026-47071 is an uncontrolled resource consumption vulnerability in hackney's SOCKS5 transport that allows a malicious proxy to cause indefinite blocking by not forwarding timeout values during TLS upgrade. This can lead to denial of service attacks against applications using affected versions of hackney.
ثغرة استهلاك الموارد غير المنضبط في وحدة SOCKS5 في hackney تفشل في تطبيق قيم المهلة الزمنية عند ترقية الاتصال إلى TLS. يمكن لوكيل SOCKS5 معادي أن يكمل مصافحة SOCKS5 بشكل طبيعي ثم يتوقف عن الرد أو يرسل جزءاً من ServerHello مما يسبب حجب العملية بشكل غير محدود.
A resource consumption flaw in hackney's SOCKS5 implementation fails to apply timeout parameters when upgrading to TLS, allowing hostile proxies to block connections indefinitely. Saudi organizations using hackney for secure communications may experience service disruptions from this vulnerability.
Update hackney to version 4.0.1 or later immediately. Review and audit all applications using hackney versions 0.10.0 through 4.0.0 for potential exposure. Implement network-level controls to restrict SOCKS5 proxy connections to trusted sources only. Monitor for connection hangs and implement application-level timeout mechanisms as a temporary mitigation.
قم بتحديث hackney إلى الإصدار 4.0.1 أو أحدث فوراً. راجع جميع التطبيقات التي تستخدم إصدارات hackney من 0.10.0 إلى 4.0.0 للتحقق من التعرض المحتمل. طبق عناصر تحكم على مستوى الشبكة لتقييد اتصالات وكيل SOCKS5 بمصادر موثوقة فقط. راقب تعليق الاتصالات وطبق آليات انتظار على مستوى التطبيق كتخفيف مؤقت.