PT-2026-49564 · Pypi · Aiohttp

Publicado

2026-06-15

Atualizado

2026-06-15

CVE-2026-50269

CVSS v4.0

2.7

Baixa

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U

Summary

Attacker-controlled input included into multipart/payload headers can be used to modify a request to inject additional headers or similar.

Impact

In the unlikely situation that an application is passing user-controlled strings into MultipartWriter.append(headers=...) or Payload.headers, then an attacker may be able to modify the request to inject headers or change the contents of the request.

Workaround

Sanitise such user input.

Patch: https://github.com/aio-libs/aiohttp/commit/bf88077ebb14f4c29924b8e8904cba20c55c28b8

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-113CWE-93

Identificadores relacionados

CVE-2026-50269

GHSA-M6QW-4CW2-HM4M

Produtos afetados

Aiohttp

PT-2026-49564 · Pypi · Aiohttp

CVE-2026-50269

Summary

Impact

Workaround

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4