CVE-2023-37276 in aiohttpИнформация

Сводка

по VulDB • 30.05.2026

aiohttp — это асинхронная HTTP-клиентская/серверная библиотека для asyncio и Python. aiohttp версий 3.8.4 и более ранних версий поставляются вместе с llhttp v6.0.6. Уязвимый код используется aiohttp для парсера HTTP-запросов, когда он доступен, что является случаем по умолчанию при установке из wheel-пакета. Эта уязвимость затрагивает только пользователей aiohttp в качестве HTTP-сервера (т.е. `aiohttp.Application`), вы не подвержены этой уязвимости, если используете aiohttp в качестве HTTP-клиентской библиотеки (т.е. `aiohttp.ClientSession`). Отправка специально созданного HTTP-запроса приведет к тому, что сервер неправильно интерпретирует одно из значений HTTP-заголовка, что приведет к HTTP request smuggling. Эта проблема была решена в версии 3.8.5. Пользователям рекомендуется обновиться. Пользователи, не способные обновиться, могут переустановить aiohttp, используя `AIOHTTP_NO_EXTENSIONS=1` в качестве переменной окружения, чтобы отключить реализацию парсера HTTP-запросов llhttp. Чистая реализация на Python не уязвима.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

29.06.2023

Раскрытие

19.07.2023

Модерация

принято

Вход

VDB-235024

EPSS

0.01422

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!