PT-2025-29512 · Aiohttp+4 · Aiohttp+4

Jeppw

·

Publicado

2025-07-14

·

Atualizado

2026-03-11

·

CVE-2025-53643

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas: Versões do AIOHTTP anteriores à 3.12.14
Descrição: O AIOHTTP, um framework assíncrono de cliente/servidor HTTP para asyncio e Python, contém um problema no qual o analisador Python não analisa corretamente as seções de trailer de uma requisição HTTP. Isso pode permitir que um atacante execute um ataque de contrabando de requisições (request smuggling), potencialmente contornando firewalls ou proteções de proxy, quando uma versão puramente Python do AIOHTTP estiver instalada ou AIOHTTP NO EXTENSIONS estiver habilitado.
Recomendações: Atualize para a versão 3.12.14 ou posterior do AIOHTTP.

Exploit

Correção

DoS

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

AZL-65252
AZL-65256
BDU:2025-15590
CVE-2025-53643
ECHO-1E61-9041-EA81
GHSA-9548-QRRJ-X5PJ
OPENSUSE-SU-2026:20204-1
RHSA-2026:1249
RHSA-2026:1506
RHSA-2026:2760
SUSE-SU-2025:03057-1
SUSE-SU-2025:03201-1
SUSE-SU-2025_03057-1
SUSE-SU-2025_03201-1
SUSE-SU-2026:20425-1

Produtos afetados

Aiohttp
Alt Linux
Debian
Red Os
Suse