Platform
python
Component
aiohttp
Opgelost in
3.13.5
3.13.4
CVE-2026-22815 beschrijft een kwetsbaarheid in aiohttp, een Python asynchroon webframework. Deze kwetsbaarheid ontstaat door onvoldoende restricties in de verwerking van headers en trailers, wat kan leiden tot ongecontroleerd geheugengebruik. Dit kan resulteren in een denial-of-service (DoS) doordat een applicatie geheugen uitput bij het ontvangen van een kwaadaardige request of response. De kwetsbaarheid treft versies van aiohttp tot en met 3.9.5, en een patch is beschikbaar in versie 3.13.4.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een speciaal ontworpen HTTP-request of -response te sturen naar een kwetsbare aiohttp-applicatie. Deze request kan zo geconstrueerd zijn dat de header- of trailerverwerking een excessieve hoeveelheid geheugen toewijst. Dit kan leiden tot een denial-of-service, waarbij de applicatie crasht of niet meer reageert. De ernst van de impact hangt af van de kritikaliteit van de applicatie en de beschikbaarheid van resources. In scenario's waar de applicatie gevoelige data verwerkt, kan een DoS-aanval leiden tot dataverlies of verstoring van de dienstverlening. Een reverse proxy kan deze risico's in veel gevallen mitigeren.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-01. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. De ernst van de kwetsbaarheid is nog in afwachting van evaluatie. Er zijn geen publicaties van Proof-of-Concept (POC) code gevonden op het moment van schrijven.
Applications utilizing aiohttp versions 3.9.5 or earlier are at risk. This includes web applications, APIs, and microservices built with aiohttp, particularly those handling untrusted input or processing large HTTP headers and trailers. Shared hosting environments using aiohttp are also at increased risk.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze or poetry show.
• generic web:
Monitor application logs for unusually high memory usage or crashes related to HTTP header/trailer processing.
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
De primaire mitigatie voor CVE-2026-22815 is het upgraden van aiohttp naar versie 3.13.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een reverse proxy voor de aiohttp-applicatie. Een reverse proxy kan de header- en trailers van inkomende requests filteren en zo de hoeveelheid geheugen die de applicatie moet verwerken beperken. Configureer de reverse proxy om grote headers en trailers af te wijzen. Controleer de configuratie van de aiohttp-applicatie om te verzekeren dat er geen onnodige header- of trailerverwerking plaatsvindt.
Actualice la versión de AIOHTTP a la 3.13.4 o superior. Esta versión contiene la corrección para la vulnerabilidad de uso excesivo de memoria debido al manejo ilimitado de encabezados trailer.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22815 is a vulnerability in aiohttp versions up to 3.9.5 where insufficient header/trailer handling can lead to memory exhaustion, potentially causing a denial-of-service.
You are affected if you are using aiohttp version 3.9.5 or earlier. Check your installed version using pip freeze or poetry show.
Upgrade to aiohttp version 3.13.4 or later. If immediate upgrade is not possible, implement a reverse proxy to limit header/trailer sizes.
There is no confirmed active exploitation of CVE-2026-22815 at this time, but the potential for DoS warrants attention.
Refer to the aiohttp GitHub repository commit: https://github.com/aio-libs/aiohttp/commit/0c2e9da51126238a421568eb7c5b53e5b5d17b36
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.