[TLP:CLEAR] AIOHTTP (knižnica pre Python) opravuje 1 zraniteľnosť

AIOHTTP, HTTP klient/server pre asyncio (Python knižnicu), verziou 3.9.2 opravuje 1 zraniteľnosť.

AIOHTTP - path traversal (CVE-2024-23334) CVSS 5.9 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k ľubovolným súborom na systéme. Zraniteľnosť je zneužiteľná iba v prípade, že sú povolené statické zdroje s možnosťou "follow_symlinks" nastavenou na "True". Ako dočasnú opravu je možné nastaviť možnosť "follow_symlinks" na "False", čo je vhodné vykonať aj v prípade aktualizácie, pokiaľ sa nevyžaduje funkcionalita sledovania symbolických linkov mimo statický adresár [1][2].

Zraniteľnosť sa nachádza v produkte AIOHTTP vo verziách >1.0.5 AND <3.9.2.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 29. 1. 2024.


Publikoval Martin Krajči dňa 18. 3. 2024.

CESNET CERTS Logo