Katalog CVE

CVE-2026-50269

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.

Ocena ryzyka

Ryzyko polega na możliwości manipulacji żądaniami HTTP, co może prowadzić do naruszenia integralności danych, ominięcia mechanizmów bezpieczeństwa lub przeprowadzenia ataków typu request smuggling.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.0 lub nowszej. W międzyczasie należy unikać przekazywania danych od użytkownika do parametrów `headers` w `MultipartWriter.append()` i `Payload.headers`.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.0, attacker-controlled input included into multipart/payload headers can be used to modify a request to inject additional headers or similar. In the unlikely situation that an application is passing user-controlled strings into MultipartWriter.append(headers=...) or Payload.headers, then an attacker may be able to modify the request to inject headers or change the contents of the request. This vulnerability is fixed in 3.14.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS