Katalog CVE

CVE-2026-34520

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.13.4, parser C (domyślny w większości instalacji) akceptował bajty null i znaki kontrolne w nagłówkach odpowiedzi. Problem ten został naprawiony w wersji 3.13.4.

Ocena ryzyka

Akceptowanie bajtów null i znaków kontrolnych w nagłówkach odpowiedzi może prowadzić do nieprzewidzianych zachowań aplikacji oraz potencjalnych luk w zabezpieczeniach. Organizacje mogą być narażone na ataki, które wykorzystują te słabości.

Rekomendacja

Zaleca się aktualizację AIOHTTP do wersji 3.13.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z tej biblioteki w celu identyfikacji potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.13.4, the C parser (the default for most installs) accepted null bytes and control characters in response headers. This issue has been patched in version 3.13.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS