CVE-2026-54277
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.
Ocena ryzyka
Organizacja narażona jest na ryzyko wyczerpania zasobów pamięci serwera, co może skutkować przerwaniem działania usługi (DoS) i brakiem dostępności aplikacji dla użytkowników.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, it is possible to bypass the max_line_size check in parts of an HTTP request in the C parser. If using the optimised C parser (the default in pre-built wheels), then an attacker may be able to send oversized lines through the HTTP parser and use an excessive amount of memory, potentially leading to DoS. This vulnerability is fixed in 3.14.1.

