aiohttp 因对块扩展的解析不正确而容易受到请求走私攻击(CVE-2024-52304)
CVE编号
CVE-2024-52304
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。在版本 3.10.11 之前,Python 解析器在解析 chunk 扩展中的换行符时存在缺陷,这可能导致在某些条件下出现请求伪造漏洞。如果安装了纯 Python 版本的 aiohttp(即没有通常的 C 扩展),或者启用了 `AIOHTTP_NO_EXTENSIONS`,那么攻击者可能会执行请求伪造攻击,以绕过某些防火墙或代理保护。版本 3.10.11 修复了这个问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论