Plateforme
python
Composant
aiohttp
Corrigé dans
3.13.5
3.13.4
La vulnérabilité CVE-2026-34516 affecte la bibliothèque aiohttp, une bibliothèque Python asynchrone pour la création de serveurs web et de clients HTTP. Elle se manifeste par une consommation excessive de mémoire due à la gestion incorrecte des en-têtes multipart dans les réponses HTTP. Cette consommation excessive peut entraîner un déni de service (DoS), rendant le serveur indisponible. Les versions de aiohttp affectées sont celles inférieures ou égales à 3.9.5. Une correction a été publiée dans la version 3.13.4.
L'exploitation de cette vulnérabilité repose sur l'envoi de requêtes HTTP contenant un nombre excessif d'en-têtes multipart. Contrairement aux en-têtes HTTP standards, les en-têtes multipart n'étaient pas soumis aux mêmes restrictions de taille, ce qui permettait de charger une quantité de données significativement plus importante en mémoire. Bien que d'autres restrictions atténuent l'impact global, un attaquant peut toujours provoquer une surcharge de la mémoire du serveur, entraînant un ralentissement ou un blocage complet du service. Un scénario d'attaque pourrait impliquer l'envoi d'un grand nombre de requêtes simultanées, chacune contenant un ensemble d'en-têtes multipart volumineux, afin de saturer les ressources mémoire du serveur. La surface d'attaque est relativement large, car toute application utilisant aiohttp pour gérer les requêtes HTTP est potentiellement vulnérable. La perte de disponibilité du service est l'impact principal, mais une surcharge de mémoire prolongée pourrait également entraîner d'autres problèmes de stabilité du système.
La vulnérabilité CVE-2026-34516 a été publiée le 1er avril 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité relative de l'exploitation et de l'absence de preuves d'exploitation active à ce jour. Aucun exploit public n'est connu à ce jour, mais la publication de la vulnérabilité pourrait inciter des acteurs malveillants à développer des exploits. Il est recommandé de surveiller les sources d'informations sur les menaces et les bulletins de sécurité pour tout signe d'exploitation active. La vulnérabilité n'est pas répertoriée sur KEV (Knowledgebase of Electronic Vulnerabilities) ni sur EPSS (Exploit Prediction Scoring System) au moment de la rédaction.
Applications relying on aiohttp for handling HTTP requests, particularly those deployed in public-facing environments or handling sensitive data, are at risk. Systems with older aiohttp versions (≤3.9.5) and those lacking robust rate limiting or WAF protection are especially vulnerable.
• python / server:
# Check aiohttp version
python -c "import aiohttp; print(aiohttp.__version__)"
# Monitor memory usage with top/htop
top• generic web:
# Check for unusually large headers in access logs (example)
grep -i 'multipart' /var/log/nginx/access.log | head -n 10disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
Vecteur CVSS
La mitigation principale consiste à mettre à niveau la bibliothèque aiohttp vers la version 3.13.4 ou supérieure, où la vulnérabilité a été corrigée. Si la mise à niveau n'est pas immédiatement possible, des mesures temporaires peuvent être prises pour atténuer le risque. Il est possible de configurer un pare-feu d'application web (WAF) ou un proxy inverse pour limiter la taille des en-têtes HTTP entrants, en particulier les en-têtes multipart. Des règles WAF peuvent être configurées pour bloquer les requêtes contenant un nombre excessif d'en-têtes ou une taille totale d'en-têtes dépassant un seuil prédéfini. En outre, il est possible d'ajuster la configuration du serveur pour limiter la quantité de mémoire allouée aux requêtes HTTP. Après la mise à niveau, vérifiez que la vulnérabilité est corrigée en envoyant une requête contenant un grand nombre d'en-têtes multipart et en surveillant l'utilisation de la mémoire du serveur.
Actualice a la versión 3.13.4 o superior de AIOHTTP. Esta versión corrige la vulnerabilidad de denegación de servicio causada por el manejo excesivo de encabezados multipartes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de déni de service (DoS) dans la bibliothèque aiohttp, causée par une gestion incorrecte des en-têtes multipart, permettant une consommation excessive de mémoire.
Si vous utilisez aiohttp en version 3.9.5 ou inférieure, vous êtes potentiellement affecté. Vérifiez votre version et mettez à jour si nécessaire.
Mettez à niveau aiohttp vers la version 3.13.4 ou supérieure. En attendant, configurez un WAF pour limiter la taille des en-têtes multipart.
À ce jour, aucun exploit public n'est connu, mais la surveillance est recommandée.
Consultez le commit de correction sur GitHub : https://github.com/aio-libs/aiohttp/commit/8a74257b3804c9aac0bf644af93070f68f6c5a6f
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.