CVE-2023-37276 in aiohttpinformación

Resumen

por VulDB • 2026-05-25

aiohttp es un framework asíncrono para clientes y servidores HTTP basado en asyncio y Python. aiohttp v3.8.4 y versiones anteriores incluyen bundled con llhttp v6.0.6. El código vulnerable es utilizado por aiohttp para su analizador de solicitudes HTTP cuando está disponible, lo cual es el caso predeterminado al instalar desde un wheel. Esta vulnerabilidad solo afecta a los usuarios de aiohttp como servidor HTTP (es decir, `aiohttp.Application`); no se ve afectado por esta vulnerabilidad si está utilizando aiohttp como biblioteca de cliente HTTP (es decir, `aiohttp.ClientSession`). El envío de una solicitud HTTP manipulada hará que el servidor interprete incorrectamente uno de los valores de las cabeceras HTTP, lo que provoca HTTP request smuggling. Este problema ha sido abordado en la versión 3.8.5. Se recomienda a los usuarios actualizar. Los usuarios que no puedan actualizar pueden reinstalar aiohttp utilizando `AIOHTTP_NO_EXTENSIONS=1` como variable de entorno para deshabilitar la implementación del analizador de solicitudes HTTP llhttp. La implementación pura en Python no es vulnerable.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2023-06-29

Divulgación

2023-07-19

Moderación

aceptado

Artículo

VDB-235024

CPE

listo

EPSS

0.01422

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!