AIOHTTP — это асинхронная платформа клиент/сервер HTTP для asyncio и Python. До версии 3.13.4 недостаточные ограничения на обработку заголовков и трейлеров могли привести к неограниченному использованию памяти. Эта проблема исправлена в версии 3.13.4.
Показать оригинальное описание (EN)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.13.4, insufficient restrictions in header/trailer handling could cause uncapped memory usage. This issue has been patched in version 3.13.4.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Aiohttp Aiohttp
cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:*
|
— |
3.13.4
|
Ссылки 3
https://github.com/aio-libs/aiohttp/commit/0c2e9da51126238a421568eb7c5b53e5b5d1…
security-advisories@github.com
https://github.com/aio-libs/aiohttp/releases/tag/v3.13.4
security-advisories@github.com
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-w2fm-2cpv-w7v5
security-advisories@github.com