漏洞概况

aiohttp是一个用于异步网络编程的Python库，支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作，这意味着它可以处理大量并发网络连接，而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序，如高频交易平台、大规模并发API服务等。
微步漏洞团队通过“X 漏洞奖励计划”获取到aiohttp库路径遍历漏洞情报。

经分析研判，该漏洞的利用条件为：

1. 使用aiohttp实现Web服务；

2. 配置aiohttp中的静态资源解析，使用了不安全的参数follow_symlinks，代码如routes.static("/static", static_dir, follow_symlinks=True)

成功利用该漏洞可读取服务器上任意文件。另外值得一提的是，Github上多个高star开源项目并未正确配置该参数，目前已知受影响的开源项目有：

• https://github.com/comfyanonymous/ComfyUI/
  

• https://github.com/ray-project/ray

综上所述，建议尽快自查是否使用了相关受影响的开源项目；如果使用了aiohttp实现Web服务，请结合上述分析排查是否使用错误配置。

漏洞处置优先级(VPT)

综合处置优先级：中

漏洞编号	微步编号	XVE-2024-1472
漏洞评估	危害评级	中危
	漏洞类型	路径遍历
	公开程度	PoC未公开
	利用条件	无权限要求
	交互要求	0-click
	威胁类型	远程
利用情报	微步已捕获攻击行为	暂无

漏洞影响范围

产品名称	aiohttp
受影响版本	1.0.5 < version < 3.9.2
影响范围	十万级
有无修复补丁	有

前往X情报社区资产测绘查看影响资产详情：

https://x.threatbook.com/v5/survey?q=app%3D"aiohttp"

漏洞复现

修复方案

官方修复方案：

该项目已发布修复版本: https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2

临时修复方案：

• 使用反向代理服务器（例如nginx）处理静态资源

• 如果使用follow_symlinks=True，请立即禁用该选项

• 使用防护类设备进行防护，拦截../../等路径穿越字符

微步产品侧支持情况

微步威胁感知平台TDP已支持检测，规则ID为：D120646e4f2，模型/规则高于20220102000000 可检出。

时间线

• 2023.01.19 微步"X漏洞奖励计划"获取该漏洞相关情报
• 2024.02.26 微步发布报告

- END -

原文始发于微信公众号（微步在线研究响应中心）：漏洞通告 | aiohttp路径遍历漏洞