CVE-2023-37276 in aiohttp情報

要約

〜によって VulDB • 2026年05月30日

aiohttpは、asyncioおよびPython用の非同期HTTPクライアント/サーバーフレームワークです。aiohttp v3.8.4およびそれ以前のバージョンには、llhttp v6.0.6がバンドルされています。脆弱なコードは、aiohttpが利用可能な場合にHTTPリクエストパーサーとして使用します(これはwheelからのインストール時にデフォルトのケースです)。この脆弱性は、aiohttpをHTTPサーバー(つまり `aiohttp.Application`)として使用しているユーザーにのみ影響します。aiohttpをHTTPクライアントライブラリ(つまり `aiohttp.ClientSession`)として使用している場合、この脆弱性の影響を受けません。不正に作成されたHTTPリクエストを送信すると、サーバーがHTTPヘッダー値の1つを誤って解釈し、HTTPリクエストスモーギングを引き起こします。この問題はバージョン3.8.5で修正されました。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、環境変数として `AIOHTTP_NO_EXTENSIONS=1` を使用してaiohttpを再インストールし、llhttp HTTPリクエストパーサーの実装を無効にすることができます。純粋なPython実装には脆弱性がありません。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub, Inc.

予約する

2023年06月29日

モデレーション

承諾済み

エントリ

VDB-235024

EPSS

0.01422

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!