AIOHTTP — это асинхронная клиент-серверная платформа HTTP для asyncio и Python. Версии 3.13.2 и ниже позволяют использовать zip-бомбу для выполнения DoS-атак против сервера AIOHTTP. Злоумышленник может отправить сжатый запрос, который при распаковке с помощью AIOHTTP может исчерпать память хоста.
Эта проблема исправлена в версии 3.13.3.
Показать оригинальное описание (EN)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Versions 3.13.2 and below allow a zip bomb to be used to execute a DoS against the AIOHTTP server. An attacker may be able to send a compressed request that when decompressed by AIOHTTP could exhaust the host's memory. This issue is fixed in version 3.13.3.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Aiohttp Aiohttp
cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:*
|
— |
3.13.3
|