aio-libs aiohttp jusqu’à 3.13.x CookieJar.load élévation de privilèges
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité a été trouvé dans aio-libs aiohttp jusqu’à 3.13.x et classée problématique. Affecté par cette vulnérabilité est la fonction CookieJar.load. L’utilisation aboutit à élévation de privilèges.
Cette vulnérabilité a été nommée CVE-2026-34993. Un accés local est requis pour garantir le succés de l'attaque. Il n'y a pas d'exploit disponible.
Il est suggéré de mettre à jour le composant affecté.
Détails
Une vulnérabilité qui a été classée problématique a été trouvée dans aio-libs aiohttp jusqu’à 3.13.x. Affecté par cette vulnérabilité est la fonction CookieJar.load. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité est connue comme CVE-2026-34993. Elle est difficilement utilisable. Un accés local est requis pour cette attaque. L'exploitation a besoin de différents niveaux d'authentification.Les détails technniques sont connus, mais aucun exploite n'est disponible.
Mettre à jour à la version 3.14.0 élimine cette vulnérabilité. En appliquant le correctif dcf40f30637e8752c76781cf6703b5a236749a00 il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur github.com. La meilleure solution suggérée pour atténuer le problème est Mise à niveau.
La vulnérabilité est aussi documentée dans la base de données EUVD (EUVD-2026-34001). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produit
Fournisseur
Nom
Version
Licence
Site web
- Produit: https://github.com/aio-libs/aiohttp/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔒VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 5.1VulDB Score méta-temporaire: 5.1
VulDB Note de base: 3.9
VulDB Note temporaire: 3.8
VulDB Vecteur: 🔒
VulDB Fiabilité: 🔍
CNA Note de base: 6.4
CNA Vecteur (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔒
VulDB Note temporaire: 🔒
VulDB Fiabilité: 🔍
Exploitation
Classe: élévation de privilègesCWE: CWE-502 / CWE-20
CAPEC: 🔒
ATT&CK: 🔒
Physique: Partiellement
Local: Oui
Remote: Partiellement
Disponibilité: 🔒
Statut: Non défini
EPSS Score: 🔒
EPSS Percentile: 🔒
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔒
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: Mise à niveauStatut: 🔍
Heure 0 jour: 🔒
Mise à niveau: aiohttp 3.14.0
Correctif: dcf40f30637e8752c76781cf6703b5a236749a00
Chronologie
31/03/2026 CVE réservé02/06/2026 Entrée VulDB créée
03/06/2026 Avis publié
04/06/2026 Dernière mise à jour VulDB
Sources
Produit: github.comBulletin: GHSA-jg22-mg44-37j8
Statut: Confirmé
CVE: CVE-2026-34993 (🔒)
GCVE (CVE): GCVE-0-2026-34993
GCVE (VulDB): GCVE-100-368053
EUVD: 🔒
Entrée
Créé: 03/06/2026 01:42Mise à jour: 04/06/2026 00:26
Changements: 03/06/2026 01:42 (66), 04/06/2026 00:26 (1)
Complet: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.