CVE-2023-37276 in aiohttp
Sumário
de VulDB • 29/05/2026
aiohttp é um framework assíncrono para cliente/servidor HTTP para asyncio e Python. aiohttp v3.8.4 e versões anteriores vêm com o llhttp v6.0.6 embutido. O código vulnerável é utilizado pelo aiohttp para o seu analisador de requisições HTTP quando disponível, o que é o caso padrão ao instalar a partir de um wheel. Esta vulnerabilidade afeta apenas os utilizadores do aiohttp como servidor HTTP (ou seja, `aiohttp.Application`); não está afetado por esta vulnerabilidade se estiver a utilizar o aiohttp como biblioteca de cliente HTTP (ou seja, `aiohttp.ClientSession`). O envio de uma requisição HTTP manipulada fará com que o servidor interprete incorretamente um dos valores do cabeçalho HTTP, levando a um HTTP request smuggling. Este problema foi resolvido na versão 3.8.5. Recomenda-se aos utilizadores que atualizem. Os utilizadores que não consigam atualizar podem reinstalar o aiohttp utilizando `AIOHTTP_NO_EXTENSIONS=1` como variável de ambiente para desativar a implementação do analisador de requisições HTTP llhttp. A implementação em Python puro não é vulnerável.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.