CVE-2023-37276 in aiohttp
要約
〜によって VulDB • 2026年05月30日
aiohttpは、asyncioおよびPython用の非同期HTTPクライアント/サーバーフレームワークです。aiohttp v3.8.4およびそれ以前のバージョンには、llhttp v6.0.6がバンドルされています。脆弱なコードは、aiohttpが利用可能な場合にHTTPリクエストパーサーとして使用します(これはwheelからのインストール時にデフォルトのケースです)。この脆弱性は、aiohttpをHTTPサーバー(つまり `aiohttp.Application`)として使用しているユーザーにのみ影響します。aiohttpをHTTPクライアントライブラリ(つまり `aiohttp.ClientSession`)として使用している場合、この脆弱性の影響を受けません。不正に作成されたHTTPリクエストを送信すると、サーバーがHTTPヘッダー値の1つを誤って解釈し、HTTPリクエストスモーギングを引き起こします。この問題はバージョン3.8.5で修正されました。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、環境変数として `AIOHTTP_NO_EXTENSIONS=1` を使用してaiohttpを再インストールし、llhttp HTTPリクエストパーサーの実装を無効にすることができます。純粋なPython実装には脆弱性がありません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.