CVE-2026-54278
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS (Denial of Service) poprzez wysłanie złośliwego skompresowanego żądania, które po dekompresji może znacząco obciążyć pamięć serwera, prowadząc do jego niedostępności.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, during cleanup it is possible for a compressed request body to be decompressed into memory in one chunk. An attacker may be able to send a compressed payload in specific situations that could be decompressed into memory, potentially leading to DoS (a zip bomb edge case). This vulnerability is fixed in 3.14.1.

