[TLP:CLEAR] AIOHTTP (knižnica pre Python) opravuje 1 zraniteľnosť
AIOHTTP, HTTP klient/server pre asyncio (Python knižnicu), verziou 3.9.2 opravuje 1 zraniteľnosť.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k ľubovolným súborom na systéme. Zraniteľnosť je zneužiteľná iba v prípade, že sú povolené statické zdroje s možnosťou "follow_symlinks" nastavenou na "True". Ako dočasnú opravu je možné nastaviť možnosť "follow_symlinks" na "False", čo je vhodné vykonať aj v prípade aktualizácie, pokiaľ sa nevyžaduje funkcionalita sledovania symbolických linkov mimo statický adresár [1][2].
Zraniteľnosť sa nachádza v produkte AIOHTTP vo verziách >1.0.5 AND <3.9.2.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-23334 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 1. 2024.