Описание
Множественные уязвимости python3-aiohttp
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета python3-aiohttp или Установить обновление для пакета(ов) python3-aiohttp
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
14.01.2025
CVE-2024-27306
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-клиента aiohttp связана с недостаточной очисткой данных, предоставленных пользователем, в методе web.static(..., show_index=True) на страницах индекса для обработки статических файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние на целостность системы
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2024-42367
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-клиента aiohttp связана с проблемасм с символической ссылкой при обработке статических маршрутов, содержащих файлы со сжатыми вариантами в классе FileResponse. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать уязвимую систему
4.8 Medium
CVSS3
4 Medium
CVSS2
CVE-2024-30251
Идентификатор БДУ ФСТЭК России:
BDU:2024-04194Описание уязвимости:
Уязвимость HTTP-клиента aiohttp связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2024-52304
Идентификатор БДУ ФСТЭК России:
BDU:2024-10292Описание уязвимости:
Уязвимость HTTP-клиента aiohttp связана с недостатками обработки заголовков HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку «контрабанда HTTP-запросов»
7.5 High
CVSS3
7.8 High
CVSS2