Plateforme
python
Composant
aiohttp
Corrigé dans
3.13.5
3.13.4
La vulnérabilité CVE-2026-34520 affecte la bibliothèque aiohttp, plus précisément son analyseur C pour les en-têtes HTTP. Elle permet à un attaquant d'injecter des caractères de contrôle et des octets nuls dans les valeurs des en-têtes de réponse, ce qui peut entraîner une interprétation inattendue de ces en-têtes. Cette manipulation peut potentiellement conduire à un contournement de sécurité, par exemple en modifiant la valeur renvoyée par request.url.origin(). Les versions affectées sont celles inférieures ou égales à 3.9.5. Une correction est disponible dans la version 3.13.4.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour manipuler la manière dont le serveur interprète les en-têtes HTTP. Cela peut permettre de contourner des mécanismes de sécurité basés sur la validation des en-têtes, comme la vérification de l'origine des requêtes. Par exemple, un attaquant pourrait injecter des caractères de contrôle dans l'en-tête Host pour induire le serveur en erreur quant à l'origine de la requête. Le risque de contournement de sécurité pourrait permettre l'accès non autorisé à des ressources sensibles ou l'exécution de code malveillant. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la sévérité critique de la vulnérabilité indique un risque élevé d'exploitation si elle est découverte et exploitée.
La vulnérabilité CVE-2026-34520 a été publiée le 1er avril 2026. La sévérité est classée comme critique (CVSS 9.1). Il n'y a pas d'indications d'une présence sur KEV (Kernel Exploit Vulnerability Database) ou d'un score EPSS (Exploit Prediction Scoring System) élevé à ce jour. Aucun proof-of-concept (POC) public n'est connu à la date de publication. Bien que l'exploitation active ne soit pas signalée, la sévérité de la vulnérabilité justifie une attention particulière et une application rapide des correctifs.
Applications built using aiohttp, particularly those deployed in production environments and handling sensitive data, are at risk. Services relying on accurate header parsing for authentication, authorization, or routing are especially vulnerable. Shared hosting environments where users have limited control over server configurations are also at increased risk.
• python / server:
import aiohttp
async def check_aiohttp_version():
try:
import aiohttp
print(f"aiohttp version: {aiohttp.__version__}")
if aiohttp.__version__ <= '3.9.5':
print("VULNERABLE: aiohttp version is less than or equal to 3.9.5")
else:
print("aiohttp version is not vulnerable.")
except ImportError:
print("aiohttp is not installed.")
if __name__ == '__main__':
import asyncio
asyncio.run(check_aiohttp_version())• generic web:
curl -I https://example.com | grep -i 'Content-Type:'Inspect the Content-Type header for unexpected characters or encodings that might indicate manipulation.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour aiohttp vers la version 3.13.4 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de configurer un proxy inverse ou un WAF (Web Application Firewall) pour filtrer les en-têtes HTTP entrants et supprimer les caractères de contrôle suspects. Des règles WAF peuvent être créées pour bloquer les requêtes contenant des caractères non valides dans les en-têtes. En outre, il est recommandé de valider rigoureusement les en-têtes HTTP côté serveur avant de les utiliser dans des opérations critiques. Après la mise à jour, vérifiez la correction en envoyant des requêtes avec des en-têtes contenant des caractères de contrôle et en confirmant que ces requêtes sont correctement traitées et rejetées.
Actualice la biblioteca AIOHTTP a la versión 3.13.4 o superior. Esto solucionará la vulnerabilidad de inyección de encabezado al rechazar bytes nulos y caracteres de control en los valores de los encabezados de respuesta. Puede actualizar usando `pip install -U aiohttp`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité critique dans aiohttp, permettant l'interprétation incorrecte des en-têtes HTTP en raison de caractères de contrôle malveillants.
Oui, si vous utilisez aiohttp dans une version inférieure ou égale à 3.9.5. Vérifiez votre version et mettez à jour si nécessaire.
Mettez à jour aiohttp vers la version 3.13.4 ou ultérieure. En attendant, configurez un WAF ou un proxy inverse pour filtrer les en-têtes.
À ce jour, aucune exploitation active n'est signalée, mais la sévérité critique justifie une action rapide.
Consultez le commit de correction sur GitHub : https://github.com/aio-libs/aiohttp/commit/9370b9714a7a56003cacd31a9b4ae16eab109ba4
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.