PT-2024-8690 · Pypi+5 · Aiohttp+5

Jeppw

·

Publicado

2024-11-18

·

Atualizado

2026-01-23

·

CVE-2024-52304

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do aiohttp anteriores à 3.10.11
Descrição
O aiohttp é uma estrutura cliente/servidor HTTP assíncrona para asyncio e Python. Existe uma falha no tratamento, pelo analisador de Python, das quebras de linha dentro das extensões de blocos, o que pode levar a vulnerabilidades de contrabando de solicitações. Se uma versão em Python puro do aiohttp estiver instalada (sem as extensões C habituais) ou se AIOHTTP NO EXTENSIONS estiver habilitado, um invasor poderá explorar essa falha para contornar certos firewalls ou proteções de proxy. O contrabando de solicitações ocorre quando um invasor manipula solicitações HTTP para induzir o servidor a processá-las de maneira indesejada. Isso pode levar a várias consequências de segurança, incluindo acesso não autorizado e violações de dados.
Recomendações
Atualize o aiohttp para a versão 3.10.11 ou posterior.

Exploit

Correção

DoS

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

AZL-53229
AZL-53232
BDU:2024-10292
CVE-2024-52304
DLA-4041-1
DSA-5828-1
GHSA-8495-4G3G-X7PR
MGASA-2024-0388
OESA-2025-1045
OESA-2025-1046
OESA-2025-1047
OESA-2025-1048
OPENSUSE-SU-2024_4077-1
OPENSUSE-SU-2024_4110-1
RHSA-2024:10766
RHSA-2024:11574
RHSA-2025:0340
SUSE-SU-2024:4077-1
SUSE-SU-2024:4110-1
SUSE-SU-2024_4077-1
SUSE-SU-2024_4110-1
USN-7642-1

Produtos afetados

Alt Linux
Linuxmint
Red Os
Suse
Ubuntu
Aiohttp