Plateforme
python
Composant
aiohttp
Corrigé dans
3.13.4
3.13.3
La vulnérabilité CVE-2025-69226 affecte la bibliothèque aiohttp, versions inférieures ou égales à 3.9.5. Bien que la normalisation du chemin protège contre les attaques de traversal, elle permet à un attaquant de déterminer l'existence de composants de chemin absolus. Cette divulgation d'informations peut être exploitée dans des applications utilisant web.static(), une fonctionnalité déconseillée en production. Une correction est disponible dans la version 3.13.3.
L'impact principal de cette vulnérabilité réside dans la divulgation d'informations. Un attaquant peut utiliser cette faille pour déterminer l'existence de fichiers et de répertoires sur le serveur, même s'il ne peut pas y accéder directement. Cela peut révéler des informations sensibles sur la structure du système de fichiers, les noms de fichiers et potentiellement les chemins d'accès à des données confidentielles. Cette vulnérabilité est particulièrement préoccupante pour les applications qui utilisent web.static() pour servir des fichiers statiques, car cette fonctionnalité est déconseillée en production en raison de ses risques de sécurité inhérents. L'attaquant pourrait ainsi cartographier une partie du système de fichiers.
Cette vulnérabilité n'est pas répertoriée sur KEV à ce jour. Le score EPSS n'est pas disponible. Aucune preuve d'exploitation active n'a été signalée publiquement. La vulnérabilité a été publiée le 2026-01-05. Il est important de noter que l'exploitation de cette vulnérabilité dépend fortement de l'utilisation de web.static() dans l'application, ce qui limite son impact potentiel.
Applications utilizing aiohttp version 3.9.5 or earlier, particularly those employing the web.static() function for serving static files, are at risk. Python developers building web applications and relying on aiohttp for HTTP handling should prioritize upgrading their dependencies.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze | grep aiohttp.
• generic web:
Inspect application logs for requests targeting static files with unusual path parameters.
disclosure
patch
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
La mitigation principale consiste à mettre à jour aiohttp vers la version 3.13.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est fortement recommandé de désactiver l'utilisation de web.static() dans votre application. En alternative, vous pouvez envisager de configurer un serveur web distinct (comme Nginx ou Apache) pour servir les fichiers statiques, ce qui offre un meilleur contrôle sur les autorisations et la sécurité. Surveillez les journaux d'accès pour détecter des tentatives d'accès inhabituelles aux fichiers statiques. Après la mise à jour, vérifiez la configuration de votre application pour vous assurer que web.static() n'est pas utilisé et que les fichiers statiques sont servis de manière sécurisée.
Mettez à jour la bibliothèque AIOHTTP à la version 3.13.3 ou supérieure. Cela corrige la vulnérabilité de fuite d'informations du chemin d'accès aux fichiers statiques. Vous pouvez mettre à jour en utilisant pip : `pip install aiohttp==3.13.3`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-69226 is a LOW severity vulnerability in aiohttp affecting versions up to 3.9.5. It allows attackers to discover the existence of path components if web.static() is used.
You are affected if you are using aiohttp version 3.9.5 or earlier, especially if your application uses the web.static() function.
Upgrade to aiohttp version 3.13.3 or later. Avoid using web.static() in production environments.
There are no confirmed reports of active exploitation as of the publication date, but vigilance is still advised.
Refer to the aiohttp GitHub repository commit: https://github.com/aio-libs/aiohttp/commit/f2a86fd5ac0383000d1715afddfa704413f0711e
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.