CVE-2023-37276 in aiohttpinformação

Sumário

de VulDB • 29/05/2026

aiohttp é um framework assíncrono para cliente/servidor HTTP para asyncio e Python. aiohttp v3.8.4 e versões anteriores vêm com o llhttp v6.0.6 embutido. O código vulnerável é utilizado pelo aiohttp para o seu analisador de requisições HTTP quando disponível, o que é o caso padrão ao instalar a partir de um wheel. Esta vulnerabilidade afeta apenas os utilizadores do aiohttp como servidor HTTP (ou seja, `aiohttp.Application`); não está afetado por esta vulnerabilidade se estiver a utilizar o aiohttp como biblioteca de cliente HTTP (ou seja, `aiohttp.ClientSession`). O envio de uma requisição HTTP manipulada fará com que o servidor interprete incorretamente um dos valores do cabeçalho HTTP, levando a um HTTP request smuggling. Este problema foi resolvido na versão 3.8.5. Recomenda-se aos utilizadores que atualizem. Os utilizadores que não consigam atualizar podem reinstalar o aiohttp utilizando `AIOHTTP_NO_EXTENSIONS=1` como variável de ambiente para desativar a implementação do analisador de requisições HTTP llhttp. A implementação em Python puro não é vulnerável.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub, Inc.

Reservar

29/06/2023

Divulgação

19/07/2023

Moderação

aceite

Entrada

VDB-235024

CPE

pronto

EPSS

0.01422

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!