漏洞描述:
aiohttp是一个基于asyncio库实现的HTTP客户端/服务器框架,它支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。
近日监测到aiohttp目录遍历漏洞的漏洞情报,aiohttp使用选项"follow_symlinks"来决定是否跟踪静态根目录之外的符号链接。当"follow_symlinks "设置为 "True "时,将不会验证读取的文件是否在根目录内从而导致目录遍历,攻击者可以利用此漏洞访问系统上的任意文件。
影响版本:
1.0.5<=aiohttp<3.9.2
修复建议:
正式防护方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
漏洞修复版本:
aiohttp >= 3.9.2
下载链接:
https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2
参考链接:
https://github.com/aio-libs/aiohttp/commit/1c335944d6a8b1298baf179b7c0b3069f10c514b
https://github.com/aio-libs/aiohttp/pull/8079
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5h86-8mv2-jq9f
原文始发于微信公众号(飓风网络安全):【漏洞预警】aiohttp 路径遍历漏洞CVE-2024-23334
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论