Informazioni sul CVE-2024-52304
aiohttp vulnerable to request smuggling due to incorrect parsing of chunk extensions
CWE ID: CWE-444
Base Score (CVSS): 6.3
CVE: CVE-2024-52304
Descrizione: aiohttp is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.10.11, the Python parser parses newlines in chunk extensions incorrectly which can lead to request smuggling vulnerabilities under certain conditions. If a pure Python version of aiohttp is installed (i.e. without the usual C extensions) or `AIOHTTP_NO_EXTENSIONS` is enabled, then an attacker may be able to execute a request smuggling attack to bypass certain firewalls or proxy protections. Version 3.10.11 fixes the issue.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/aio-libs/aiohttp/security/advisories/GHSA-8495-4g3g-x7pr
- https://github.com/aio-libs/aiohttp/commit/259edc369075de63e6f3a4eaade058c62af0df71
Prodotti interessati
- aio-libs – aiohttp
Relazioni con altri prodotti
Produttore:aio-libs
Prodotto: aiohttp
Anno: 2024
CWE: CWE-444
CVSS: 6.3