LOWCVE-2025-69226CVSS 2.5

AIOHTTP は、内部の静的ファイルパスのコンポーネントをブルートフォースで漏洩させる脆弱性があります

Q: CVE-2025-69226 — パストラバーサル in aiohttpとは何ですか？

CVE-2025-69226は、aiohttpライブラリのバージョン3.9.5以前に存在する脆弱性で、パス正規化の不備により攻撃者がファイルシステムの絶対パスを推測できる可能性があります。

Q: CVE-2025-69226 in aiohttpに影響を受けますか？

aiohttpのバージョン3.9.5以前を使用している場合は、影響を受けます。aiohttp 3.13.3へのアップデートが必要です。

Q: CVE-2025-69226 in aiohttpを修正するにはどうすればよいですか？

aiohttpをバージョン3.13.3以降にアップデートしてください。`web.static()`関数の使用は推奨されていません。

Q: CVE-2025-69226は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、将来的に悪用される可能性は否定できません。

Q: CVE-2025-69226に関するaiohttpの公式アドバイザリはどこで入手できますか？

aiohttpのGitHubリポジトリのコミット履歴で確認できます: https://github.com/aio-libs/aiohttp/commit/f2a86fd5ac0383000d1715afddfa704413f0711e

プラットフォーム

python

コンポーネント

aiohttp

修正版

3.13.4

3.13.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-69226は、aiohttpライブラリのバージョン3.9.5以前に存在する脆弱性です。この脆弱性は、静的ファイルに対するパス正規化処理の不備に起因し、攻撃者が絶対パスコンポーネントの存在を推測することを可能にします。影響を受けるバージョンは3.9.5以前であり、aiohttp 3.13.3へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、aiohttpのweb.static()関数を使用しているアプリケーションに影響を与えます。web.static()関数は、静的ファイルを配信するために使用されますが、この脆弱性により、攻撃者はファイルシステムの絶対パスを推測できる可能性があります。これにより、機密情報へのアクセスや、さらなる攻撃への足がかりを得ることが可能になる可能性があります。特に、ファイルシステムの構造が公開されている場合、攻撃の影響は大きくなります。この脆弱性は、aiohttpの設計上の問題が原因であり、他の同様のフレームワークでも同様の脆弱性が存在する可能性があります。

悪用の状況

この脆弱性は、CISA KEVカタログにはまだ登録されていません。公開されているPoCは確認されていませんが、aiohttpの利用状況を考慮すると、将来的に悪用される可能性は否定できません。NVD（National Vulnerability Database）は2026年1月5日に公開されました。攻撃者は、ファイルシステムの構造に関する情報を収集し、脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Applications utilizing aiohttp version 3.9.5 or earlier, particularly those employing the web.static() function for serving static files, are at risk. Python developers building web applications and relying on aiohttp for HTTP handling should prioritize upgrading their dependencies.

検出手順翻訳中…

• python / server:

import aiohttp
print(aiohttp.__version__)

• python / supply-chain: Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze | grep aiohttp. • generic web: Inspect application logs for requests targeting static files with unusual path parameters.

攻撃タイムライン

2026-01-05Disclosure
disclosure
2026-01-05Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.06% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントaiohttp

ベンダーosv

影響範囲修正版

< 3.13.3 – < 3.13.33.13.4

—3.13.3

弱点分類 (CWE)

CWE-22 CWE-200

タイムライン

予約済み2025-12-29
公開日2026-01-05
更新日2026-02-04
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、aiohttp 3.13.3へのアップデートです。web.static()関数の使用は推奨されていませんので、可能であれば使用を避けることが重要です。もしweb.static()を使用している場合は、ファイルシステムのアクセス権を厳しく制限し、不要なファイルへのアクセスを遮断するように設定してください。また、WAF（Web Application Firewall）を導入し、異常なパスリクエストを検知・ブロックすることも有効です。アップデートが困難な場合は、ファイルシステムの構造を隠蔽し、攻撃者がパスを推測することを困難にする対策を検討してください。

修正方法

AIOHTTP ライブラリをバージョン 3.13.3 以降にアップデートしてください。これにより、静的ファイルパス情報の漏洩脆弱性が修正されます。pip を使用してアップデートできます: `pip install aiohttp==3.13.3`。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-69226 — パストラバーサル in aiohttpとは何ですか？