Vulnerabilidad en aiohttp (CVE-2024-30251)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/05/2024
Última modificación:
21/08/2025
Descripción
aiohttp es un framework cliente/servidor HTTP asíncrono para asyncio y Python. En las versiones afectadas, un atacante puede enviar una solicitud POST (multipart/form-data) especialmente manipulada. Cuando el servidor aiohttp lo procese, el servidor entrará en un bucle infinito y no podrá procesar más solicitudes. Un atacante puede impedir que la aplicación atienda solicitudes después de enviar una sola solicitud. Este problema se solucionó en la versión 3.9.4. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden aplicar manualmente un parche a sus sistemas. Consulte la GHSA vinculada para obtener instrucciones.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:* | 3.9.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/05/02/4
- https://github.com/aio-libs/aiohttp/commit/7eecdff163ccf029fbb1ddc9de4169d4aaeb6597
- https://github.com/aio-libs/aiohttp/commit/cebe526b9c34dc3a3da9140409db63014bc4cf19
- https://github.com/aio-libs/aiohttp/commit/f21c6f2ca512a026ce7f0f6c6311f62d6a638866
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5m98-qgg9-wh84
- http://www.openwall.com/lists/oss-security/2024/05/02/4
- https://github.com/aio-libs/aiohttp/commit/7eecdff163ccf029fbb1ddc9de4169d4aaeb6597
- https://github.com/aio-libs/aiohttp/commit/cebe526b9c34dc3a3da9140409db63014bc4cf19
- https://github.com/aio-libs/aiohttp/commit/f21c6f2ca512a026ce7f0f6c6311f62d6a638866
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5m98-qgg9-wh84