Sensitive Data Exposure vulnerability in benoitc hackney allows Retrieve Embedded Sensitive Data. The HTTP/3 redirect handler in src/hackney_h3.erl passes the original request headers unchanged to the redirect target without performing any cross-origin check. When a client issues an HTTP/3 request with follow_redirect enabled and includes Authorization or Cookie headers, a server responding with a 3xx redirect to a different host will cause the client to forward those credentials verbatim to the new origin.
The main hackney.erl module has maybe_strip_auth_on_redirect/2 (guarded by the location_trusted option) to address CVE-2018-1000007, but hackney_h3.erl is missing this protection entirely.
This issue affects hackney: from 3.1.1 before 4.0.1.
CVE-2026-47070 is a sensitive data exposure vulnerability in Erlang HTTP client library hackney's HTTP/3 handler that fails to strip authentication headers during cross-origin redirects. When follow_redirect is enabled, Authorization and Cookie headers are forwarded to redirect targets without origin validation, potentially exposing credentials to unauthorized hosts.
يحتوي مكتبة hackney الإرلنجية على ثغرة في معالج HTTP/3 حيث لا يتم إزالة رؤوس المصادقة (Authorization و Cookie) عند إعادة توجيه الطلبات إلى نطاقات مختلفة. بخلاف وحدة hackney.erl الرئيسية التي تحتوي على حماية maybe_strip_auth_on_redirect، فإن hackney_h3.erl تفتقد هذه الحماية تماماً. يؤدي هذا إلى تسرب بيانات الاعتماد الحساسة إلى مضيفين غير موثوقين عند تفعيل خيار follow_redirect.
This vulnerability affects hackney HTTP/3 implementation by exposing sensitive authentication credentials during cross-origin redirects. Organizations using hackney versions 3.1.1 through 4.0.0 for HTTP/3 requests with automatic redirect following face credential leakage risks to untrusted domains.
Upgrade hackney to version 4.0.1 or later immediately. If immediate upgrade is not possible, disable follow_redirect option or implement custom redirect handling with explicit header filtering. Review and audit any systems using hackney 3.1.1-4.0.0 for potential credential exposure incidents.
قم بترقية hackney إلى الإصدار 4.0.1 أو أحدث فوراً. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل خيار follow_redirect أو قم بتنفيذ معالجة إعادة توجيه مخصصة مع تصفية رؤوس صريحة. راجع وتدقيق أي أنظمة تستخدم hackney 3.1.1-4.0.0 للكشف عن حوادث تسرب بيانات الاعتماد المحتملة.