Katalog CVE

CVE-2026-54280

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

W bibliotece AIOHTTP przed wersją 3.14.1 zasoby ładunku (payload) nie są poprawnie zamykane, gdy klient rozłączy się w trakcie zapisu. Może to prowadzić do tymczasowego wyczerpania zasobów, takich jak otwarte pliki, do momentu ich zwolnienia przez garbage collector.

Ocena ryzyka

Atakujący może celowo rozłączać się podczas przesyłania danych, powodując blokadę ograniczonych zasobów (np. uchwytów plików), co prowadzi do odmowy usługi (DoS) dla innych użytkowników.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę AIOHTTP do wersji 3.14.1 lub nowszej, która zawiera poprawkę zamykającą zasoby po rozłączeniu klienta.

Oryginalny opis (angielski, źródło NVD)

AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to 3.14.1, payload resources are not closed correctly when a client disconnects in the middle of a write. If a payload is using an open file or similar limited resource, then an attacker may be able to cause resource starvation temporarily until garbage collection or similar closes the file. This vulnerability is fixed in 3.14.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS