Vulnerabilidad en aiohttp (CVE-2023-47627)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
14/11/2023
Última modificación:
05/02/2024
Descripción
aiohttp es un framework cliente/servidor HTTP asíncrono para asyncio y Python. El analizador HTTP en AIOHTTP tiene numerosos problemas con el análisis de encabezados, lo que podría provocar contrabando de solicitudes. Este analizador solo se usa cuando AIOHTTP_NO_EXTENSIONS está habilitado (o no se usa una rueda prediseñada). Estos errores se solucionaron en el commit`d5c12ba89` que se incluyó en la versión 3.8.6. Se recomienda a los usuarios que actualicen. No se conocen workarounds para estos problemas.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:* | 3.8.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/aio-libs/aiohttp/commit/d5c12ba890557a575c313bb3017910d7616fce3d
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-gfw2-4jvh-wgfg
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUSJVQ7OQ55RWL4XAX2F5EZ73N4ZSH6U/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VDKQ6HM3KNDU4OQI476ZWT4O7DMSIT35/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WQYQL6WV535EEKSNH7KRARLLMOW5WXDM/