Vulnerabilidad en aiohttp (CVE-2023-49081)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
30/11/2023
Última modificación:
04/11/2025
Descripción
aiohttp es un framework cliente/servidor HTTP asíncrono para asyncio y Python. Una validación incorrecta hizo posible que un atacante modificara la solicitud HTTP (por ejemplo, para insertar un nuevo encabezado) o creara una nueva solicitud HTTP si el atacante controla la versión HTTP. La vulnerabilidad sólo ocurre si el atacante puede controlar la versión HTTP de la solicitud. Este problema se solucionó en la versión 3.9.0.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:* | 3.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/jnovikov/184afb593d9c2114d77f508e0ccd508e
- https://github.com/aio-libs/aiohttp/commit/1e86b777e61cf4eefc7d92fa57fa19dcc676013b
- https://github.com/aio-libs/aiohttp/pull/7835/files
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-q3qx-c6g2-7pw2
- https://gist.github.com/jnovikov/184afb593d9c2114d77f508e0ccd508e
- https://github.com/aio-libs/aiohttp/commit/1e86b777e61cf4eefc7d92fa57fa19dcc676013b
- https://github.com/aio-libs/aiohttp/pull/7835/files
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-q3qx-c6g2-7pw2
- https://lists.debian.org/debian-lts-announce/2025/02/msg00002.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WSYWMP64ZFCTC3VO6RY6EC6VSSMV6I3A/