Katalog CVE

CVE-2026-54277

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.

Ocena ryzyka

Organizacja narażona jest na ryzyko wyczerpania zasobów pamięci serwera, co może skutkować przerwaniem działania usługi (DoS) i brakiem dostępności aplikacji dla użytkowników.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, it is possible to bypass the max_line_size check in parts of an HTTP request in the C parser. If using the optimised C parser (the default in pre-built wheels), then an attacker may be able to send oversized lines through the HTTP parser and use an excessive amount of memory, potentially leading to DoS. This vulnerability is fixed in 3.14.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS