CVE-2026-54279
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().
Ocena ryzyka
Atakujący może wykorzystać tę lukę do wysyłania ciasteczek przeznaczonych tylko dla konkretnego hosta do innych domen, co może prowadzić do naruszenia bezpieczeństwa sesji i autoryzacji.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, host-only cookies that are saved with CookieJar.save() and then restored later with CookieJar.load() lose their host-only status. This vulnerability is fixed in 3.14.1.

