Platform
python
Component
aiohttp
Opgelost in
3.13.4
3.13.3
CVE-2025-69226 beschrijft een path disclosure kwetsbaarheid in aiohttp, specifiek in versies tot en met 3.9.5. Deze kwetsbaarheid stelt een aanvaller in staat om de aanwezigheid van absolute padcomponenten te achterhalen, met name bij gebruik van de web.static() functie. De kwetsbaarheid is verholpen in versie 3.13.3 en een patch is beschikbaar op GitHub.
De impact van deze kwetsbaarheid is beperkt, maar potentieel significant. Hoewel de web.static() functie niet aanbevolen wordt voor productieomgevingen, kan een aanvaller, indien deze functie wordt gebruikt, informatie over de bestandsstructuur van de server achterhalen. Dit kan leiden tot verdere aanvalspogingen, zoals het identificeren van gevoelige bestanden of het uitvoeren van directory traversal aanvallen, afhankelijk van de configuratie van de applicatie. De kwetsbaarheid maakt het mogelijk om de aanwezigheid van bepaalde paden te bevestigen, wat een eerste stap kan zijn in een bredere aanval.
Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2025-69226. De kwetsbaarheid is gepubliceerd op 2026-01-05. De KEV status is momenteel onbekend. Er zijn geen meldingen van actieve exploitatie bekend.
Applications utilizing aiohttp version 3.9.5 or earlier, particularly those employing the web.static() function for serving static files, are at risk. Python developers building web applications and relying on aiohttp for HTTP handling should prioritize upgrading their dependencies.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze | grep aiohttp.
• generic web:
Inspect application logs for requests targeting static files with unusual path parameters.
disclosure
patch
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-69226 is het upgraden van aiohttp naar versie 3.13.3 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie. Vermijd het gebruik van web.static() in productieomgevingen, aangezien dit de kwetsbaarheid introduceert. Configureer een Web Application Firewall (WAF) om verdachte padmanipulatie te detecteren en te blokkeren. Controleer de applicatielogboeken op ongebruikelijke padverzoeken.
Werk de AIOHTTP bibliotheek bij naar versie 3.13.3 of hoger. Dit corrigeert de kwetsbaarheid voor informatielek van de statische bestandspad. U kunt bijwerken met pip: `pip install aiohttp==3.13.3`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-69226 is a LOW severity vulnerability in aiohttp affecting versions up to 3.9.5. It allows attackers to discover the existence of path components if web.static() is used.
You are affected if you are using aiohttp version 3.9.5 or earlier, especially if your application uses the web.static() function.
Upgrade to aiohttp version 3.13.3 or later. Avoid using web.static() in production environments.
There are no confirmed reports of active exploitation as of the publication date, but vigilance is still advised.
Refer to the aiohttp GitHub repository commit: https://github.com/aio-libs/aiohttp/commit/f2a86fd5ac0383000d1715afddfa704413f0711e
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.