aiohttp是一个用于异步网络编程的Python库,支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作,这意味着它可以处理大量并发网络连接,而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序,如高频交易平台、大规模并发API服务等。
微步漏洞团队通过“X 漏洞奖励计划”获取到aiohttp库路径遍历漏洞情报。
经分析研判,该漏洞的利用条件为:
-
使用aiohttp实现Web服务; -
配置aiohttp中的静态资源解析,使用了不安全的参数follow_symlinks,代码如routes.static("/static", static_dir, follow_symlinks=True)
-
https://github.com/comfyanonymous/ComfyUI/
-
https://github.com/ray-project/ray
综合处置优先级:中
| 漏洞编号 | 微步编号 | XVE-2024-1472 |
| 漏洞评估 | 危害评级 | 中危 |
| 漏洞类型 | 路径遍历 | |
| 公开程度 | PoC未公开 | |
| 利用条件 | 无权限要求 | |
| 交互要求 | 0-click | |
| 威胁类型 | 远程 | |
| 利用情报 | 微步已捕获攻击行为 | 暂无 |
| 产品名称 | aiohttp |
| 受影响版本 | 1.0.5 < version < 3.9.2 |
| 影响范围 | 十万级 |
| 有无修复补丁 | 有 |
https://x.threatbook.com/v5/survey?q=app%3D"aiohttp"
临时修复方案:
-
使用反向代理服务器(例如nginx)处理静态资源 -
如果使用follow_symlinks=True,请立即禁用该选项 -
使用防护类设备进行防护,拦截../../等路径穿越字符
-
2023.01.19 微步"X漏洞奖励计划"获取该漏洞相关情报 -
2024.02.26 微步发布报告
原文始发于微信公众号(微步在线研究响应中心):漏洞通告 | aiohttp路径遍历漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论