Plateforme
python
Composant
aiohttp
Corrigé dans
3.13.5
3.13.4
La vulnérabilité CVE-2026-22815 affecte la bibliothèque aiohttp, versions 3.9.5 et antérieures. Elle est due à des restrictions insuffisantes dans la gestion des en-têtes et des remorques, ce qui peut entraîner un épuisement de la mémoire. Une application vulnérable peut être compromise si elle reçoit une requête ou une réponse contrôlée par un attaquant, bien qu'une configuration de proxy inverse standard puisse atténuer ce risque.
Un attaquant peut exploiter cette vulnérabilité pour provoquer un déni de service (DoS) en épuisant les ressources mémoire de l'application aiohttp. Cela peut entraîner l'instabilité du serveur, des interruptions de service et potentiellement permettre à l'attaquant de compromettre d'autres parties du système si l'application aiohttp est un composant critique. L'impact est exacerbé si l'application est déployée dans un environnement partagé, car l'épuisement de la mémoire peut affecter d'autres applications hébergées sur le même serveur. Bien que la description ne mentionne pas d'exploitation directe du code, l'épuisement de la mémoire est une technique courante utilisée dans les attaques DoS.
La vulnérabilité CVE-2026-22815 a été publiée le 1er avril 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une requête contrôlée par l'attaquant. Il n'y a pas d'informations disponibles concernant l'exploitation active ou la présence de preuves de concept (POC) publiques au moment de la rédaction. La vulnérabilité n'est pas répertoriée sur KEV ou EPSS.
Applications utilizing aiohttp versions 3.9.5 or earlier are at risk. This includes web applications, APIs, and microservices built with aiohttp, particularly those handling untrusted input or processing large HTTP headers and trailers. Shared hosting environments using aiohttp are also at increased risk.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze or poetry show.
• generic web:
Monitor application logs for unusually high memory usage or crashes related to HTTP header/trailer processing.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
La mitigation principale consiste à mettre à jour aiohttp vers la version 3.13.4 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, l'utilisation d'un proxy inverse (tel que Nginx ou Apache) avec une configuration appropriée peut atténuer le risque en limitant la taille des en-têtes et des remorques. Il est également recommandé de surveiller l'utilisation de la mémoire de l'application aiohttp et de configurer des alertes en cas de dépassement des seuils. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en envoyant une requête avec des en-têtes et des remorques volumineux et en surveillant l'utilisation de la mémoire.
Actualice la versión de AIOHTTP a la 3.13.4 o superior. Esta versión contiene la corrección para la vulnerabilidad de uso excesivo de memoria debido al manejo ilimitado de encabezados trailer.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22815 is a vulnerability in aiohttp versions up to 3.9.5 where insufficient header/trailer handling can lead to memory exhaustion, potentially causing a denial-of-service.
You are affected if you are using aiohttp version 3.9.5 or earlier. Check your installed version using pip freeze or poetry show.
Upgrade to aiohttp version 3.13.4 or later. If immediate upgrade is not possible, implement a reverse proxy to limit header/trailer sizes.
There is no confirmed active exploitation of CVE-2026-22815 at this time, but the potential for DoS warrants attention.
Refer to the aiohttp GitHub repository commit: https://github.com/aio-libs/aiohttp/commit/0c2e9da51126238a421568eb7c5b53e5b5d17b36
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.