Plataforma
python
Componente
aiohttp
Corregido en
3.13.4
3.13.3
La vulnerabilidad CVE-2025-69226 en aiohttp permite a un atacante descubrir la existencia de componentes de ruta absoluta en el sistema de archivos. Esta vulnerabilidad, clasificada como de baja severidad (CVSS 2.5), afecta a versiones de aiohttp menores o iguales a 3.9.5. La solución recomendada es actualizar a la versión 3.13.3, y como medida temporal, evitar el uso de la función web.static() en entornos de producción.
El impacto principal de esta vulnerabilidad radica en la capacidad de un atacante para mapear la estructura de directorios del servidor. Aunque no permite la ejecución de código arbitrario ni el acceso directo a archivos sensibles, la revelación de rutas absolutas puede facilitar ataques posteriores, como la identificación de archivos de configuración o la explotación de otras vulnerabilidades. Si un atacante ya tiene acceso limitado al sistema, esta información puede ser crucial para escalar privilegios o comprometer la confidencialidad de los datos. La vulnerabilidad se manifiesta al utilizar la función web.static(), la cual no se recomienda para despliegues en producción debido a sus implicaciones de seguridad.
Esta vulnerabilidad fue publicada el 5 de enero de 2026. No se ha añadido a la lista KEV de CISA ni se ha reportado explotación activa. La probabilidad de explotación se considera baja debido a la necesidad de utilizar la función web.static(), que ya no se recomienda en producción. No se han identificado públicamente pruebas de concepto (PoCs) activas.
Applications utilizing aiohttp version 3.9.5 or earlier, particularly those employing the web.static() function for serving static files, are at risk. Python developers building web applications and relying on aiohttp for HTTP handling should prioritize upgrading their dependencies.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze | grep aiohttp.
• generic web:
Inspect application logs for requests targeting static files with unusual path parameters.
disclosure
patch
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
La mitigación principal es actualizar a la versión 3.13.3 de aiohttp, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de la función web.static() en entornos de producción. Como alternativa, se puede implementar una validación más estricta de las rutas solicitadas por los usuarios, asegurando que no contengan caracteres especiales o secuencias que puedan permitir la manipulación de la ruta. Después de la actualización, confirmar la corrección revisando los logs del servidor en busca de intentos de acceso a rutas no autorizadas.
Actualice la biblioteca AIOHTTP a la versión 3.13.3 o superior. Esto corrige la vulnerabilidad de fuga de información de la ruta de archivos estáticos. Puede actualizar usando pip: `pip install aiohttp==3.13.3`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69226 is a LOW severity vulnerability in aiohttp affecting versions up to 3.9.5. It allows attackers to discover the existence of path components if web.static() is used.
You are affected if you are using aiohttp version 3.9.5 or earlier, especially if your application uses the web.static() function.
Upgrade to aiohttp version 3.13.3 or later. Avoid using web.static() in production environments.
There are no confirmed reports of active exploitation as of the publication date, but vigilance is still advised.
Refer to the aiohttp GitHub repository commit: https://github.com/aio-libs/aiohttp/commit/f2a86fd5ac0383000d1715afddfa704413f0711e
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.