CVE-2023-37276 in aiohttp
Resumen
por VulDB • 2026-05-25
aiohttp es un framework asíncrono para clientes y servidores HTTP basado en asyncio y Python. aiohttp v3.8.4 y versiones anteriores incluyen bundled con llhttp v6.0.6. El código vulnerable es utilizado por aiohttp para su analizador de solicitudes HTTP cuando está disponible, lo cual es el caso predeterminado al instalar desde un wheel. Esta vulnerabilidad solo afecta a los usuarios de aiohttp como servidor HTTP (es decir, `aiohttp.Application`); no se ve afectado por esta vulnerabilidad si está utilizando aiohttp como biblioteca de cliente HTTP (es decir, `aiohttp.ClientSession`). El envío de una solicitud HTTP manipulada hará que el servidor interprete incorrectamente uno de los valores de las cabeceras HTTP, lo que provoca HTTP request smuggling. Este problema ha sido abordado en la versión 3.8.5. Se recomienda a los usuarios actualizar. Los usuarios que no puedan actualizar pueden reinstalar aiohttp utilizando `AIOHTTP_NO_EXTENSIONS=1` como variable de entorno para deshabilitar la implementación del analizador de solicitudes HTTP llhttp. La implementación pura en Python no es vulnerable.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.