PT-2024-8691 · Aiohttp · Aiohttp
Dreamsorcerer
·
Publicado
2024-11-18
·
Atualizado
2025-08-15
·
CVE-2024-52303
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do aiohttp de 3.10.6 a 3.10.10
Descrição
Pode ocorrer um vazamento de memória quando uma solicitação gera um
MatchInfoError. Esse problema é causado pela adição de uma entrada ao cache a cada solicitação, devido ao fato de cada MatchInfoError gerar uma entrada de cache exclusiva. Um invasor pode esgotar os recursos de memória de um servidor enviando um número substancial (de centenas de milhares a milhões) dessas solicitações.Recomendações
Para as versões 3.10.6 a 3.10.10 do aiohttp, atualize para a versão 3.10.11 para receber um patch.
Como solução alternativa temporária, considere restringir o número de solicitações que podem gerar um
MatchInfoError para minimizar o risco de exploração.Exploit
Correção
Missing Release of Resource after Effective Lifetime
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aiohttp