Katalog CVE

CVE-2026-34993

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność umożliwiającą zdalne wykonanie kodu podczas ładowania niezaufanych danych za pomocą funkcji ``CookieJar.load()``. Problem dotyczy głównie aplikacji, które pozwalają na wczytywanie plików kontrolowanych przez atakującego.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przejęcia kontroli nad aplikacją poprzez wstrzyknięcie złośliwego kodu podczas przetwarzania plików cookie. Choć większość aplikacji używa tej funkcji z własnymi danymi, w przypadku akceptacji plików od użytkowników zagrożenie jest poważne.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki AIOHTTP do wersji 3.14.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy dezynfekować wszystkie pliki przed ich wczytaniem przez ``CookieJar.load()``.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.14.0, using ``CookieJar.load()`` with untrusted input may allow arbitrary code execution. Most applications using this function will be doing so with the user's own data, so this is unlikely to affect many applications. Version 3.14.0 patches the issue. If an application does allow attacker controlled files to be loaded, a workaround on older releases would be to sanitize the files before loading.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS