Katalog CVE

CVE-2026-54278

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS (Denial of Service) poprzez wysłanie złośliwego skompresowanego żądania, które po dekompresji może znacząco obciążyć pamięć serwera, prowadząc do jego niedostępności.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, during cleanup it is possible for a compressed request body to be decompressed into memory in one chunk. An attacker may be able to send a compressed payload in specific situations that could be decompressed into memory, potentially leading to DoS (a zip bomb edge case). This vulnerability is fixed in 3.14.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS