Lcttty

**Nome do software vulnerável e versões afetadas** Versões do aiohttp anteriores à 3.9.2 Versões do python3-aiohttp anteriores à 3.6.2-1ubuntu1+esm3 Versões do python3-module-aiohttp anteriores à 3.9.5-alt1 Versões do python310-aiohttp anteriores à 3.9.3-1.1 **Descrição** O aiohttp é uma estrutura cliente/servidor HTTP assíncrona para asyncio e Python. Existe uma vulnerabilidade de traversal de diretório devido à validação insuficiente ao lidar com solicitações de arquivos estáticos, especificamente quando a opção `follow symlinks` está definida como True. Isso permite que um invasor remoto não autenticado acesse arquivos arbitrários no sistema manipulando o caminho da solicitação. Observou-se que o grupo de ransomware ShadowSyndicate está procurando sistemas vulneráveis a essa falha. Aproximadamente 43.000 instâncias estão expostas globalmente, com presença significativa nos Estados Unidos, na Alemanha e na Espanha. **Recomendações** - Atualize o aiohttp para a versão 3.9.2 ou posterior. - Atualize o python3-aiohttp para a versão 3.6.2-1ubuntu1+esm3 ou posterior. - Atualize o python3-module-aiohttp para a versão 3.9.5-alt1 ou posterior. - Atualize o python310-aiohttp para a versão 3.9.3-1.1 ou posterior. - Se estiver usando `follow symlinks=True`, desative essa opção imediatamente, especialmente em ambientes de produção. - Considere usar um servidor proxy reverso (como o nginx) para lidar com recursos estáticos, em vez de depender do aiohttp para essa finalidade.