Katalog CVE

CVE-2026-54279

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().

Ocena ryzyka

Atakujący może wykorzystać tę lukę do wysyłania ciasteczek przeznaczonych tylko dla konkretnego hosta do innych domen, co może prowadzić do naruszenia bezpieczeństwa sesji i autoryzacji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, host-only cookies that are saved with CookieJar.save() and then restored later with CookieJar.load() lose their host-only status. This vulnerability is fixed in 3.14.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS