CVE-2026-34520
CriticalSummary
AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.13.4, parser C (domyślny w większości instalacji) akceptował bajty null i znaki kontrolne w nagłówkach odpowiedzi. Problem ten został naprawiony w wersji 3.13.4.
Risk Assessment
Akceptowanie bajtów null i znaków kontrolnych w nagłówkach odpowiedzi może prowadzić do nieprzewidzianych zachowań aplikacji oraz potencjalnych luk w zabezpieczeniach. Organizacje mogą być narażone na ataki, które wykorzystują te słabości.
Recommendation
Zaleca się aktualizację AIOHTTP do wersji 3.13.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z tej biblioteki w celu identyfikacji potencjalnych zagrożeń.
Original NVD description (English source)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.13.4, the C parser (the default for most installs) accepted null bytes and control characters in response headers. This issue has been patched in version 3.13.4.

