PT-2026-29610 · Aiohttp · Aiohttp

5Yu4N

·

Publicado

2026-04-01

·

Atualizado

2026-05-18

·

CVE-2026-34525

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N
Name of the Vulnerable Software and Affected Versions AIOHTTP versões anteriores a 3.13.4
Description Múltiplos cabeçalhos Host eram permitidos no AIOHTTP, potencialmente permitindo que as regras de segurança de um proxy reverso fossem ignoradas. Isso pode levar a uma solicitação sendo processada pelo AIOHTTP em um subaplicativo privilegiado ao usar Application.add domain() se o proxy e o AIOHTTP processarem nomes de host diferentes.
Recommendations Atualize para a versão 3.13.4 ou posterior do AIOHTTP.

Correção

RCE

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-444

Identificadores relacionados

CLEANSTART-2026-AN27706
CVE-2026-34525
ECHO-F8CB-56CE-2D8E
GHSA-C427-H43C-VF67
OESA-2026-2192
OESA-2026-2193
OESA-2026-2194

Produtos afetados

Aiohttp