【漏洞预警】aiohttp 路径遍历漏洞CVE-2024-23334

cexlife 飓风网络安全 2024-02-27 22:08

漏洞描述:
aiohttp是一个基于asyncio库实现的HTTP客户端/服务器框架，它支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端，以提供对Web和HTTP资源的访问和操作。近日监测到aiohttp目录遍历漏洞的漏洞情报,aiohttp使用选项”follow_symlinks”来决定是否跟踪静态根目录之外的符号链接。当”follow_symlinks “设置为 “True “时,将不会验证读取的文件是否在根目录内从而导致目录遍历，攻击者可以利用此漏洞访问系统上的任意文件。

影响版本:
1.0.5<=aiohttp<3.9.2修复建议:正式防护方案:厂商已发布补丁修复漏洞，用户请尽快更新至安全版本:漏洞修复版本:aiohttp >= 3.9.2下载链接:https://github.com/aio-libs/aiohttp/releases/tag/v3.9.2参考链接:https://github.com/aio-libs/aiohttp/commit/1c335944d6a8b1298baf179b7c0b3069f10c514bhttps://github.com/aio-libs/aiohttp/pull/8079https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5h86-8mv2-jq9f