CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34520

Critical
Published: Translated: NVD NIST

Summary

AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.13.4, parser C (domyślny w większości instalacji) akceptował bajty null i znaki kontrolne w nagłówkach odpowiedzi. Problem ten został naprawiony w wersji 3.13.4.

Risk Assessment

Akceptowanie bajtów null i znaków kontrolnych w nagłówkach odpowiedzi może prowadzić do nieprzewidzianych zachowań aplikacji oraz potencjalnych luk w zabezpieczeniach. Organizacje mogą być narażone na ataki, które wykorzystują te słabości.

Recommendation

Zaleca się aktualizację AIOHTTP do wersji 3.13.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z tej biblioteki w celu identyfikacji potencjalnych zagrożeń.

Original NVD description (English source)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.13.4, the C parser (the default for most installs) accepted null bytes and control characters in response headers. This issue has been patched in version 3.13.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS