漏洞背景
近日,嘉诚安全监测到aiohttp中存在一个路径遍历漏洞,漏洞编号为:CNNVD-202401-2541(CVE-2024-23334)。
aiohttp是一个基于asyncio库实现的HTTP客户端/服务器框架,它支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。aiohttp使用选项 "follow_symlinks"来决定是否跟踪静态根目录之外的符号链接。当"follow_symlinks"设置为"True"时,将不会验证读取的文件是否在根目录内从而导致目录遍历,攻击者可以利用此漏洞访问系统上的任意文件。
危害影响
影响版本:
1.0.5 <= aiohttp < 3.9.2
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本,即3.9.2及以上版本,下载链接请参考:
https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2
原文始发于微信公众号(嘉诚安全):【漏洞通告】aiohttp路径遍历漏洞安全风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论