Platform
python
Component
aiohttp
Opgelost in
3.13.5
3.13.4
CVE-2026-34516 beschrijft een Denial of Service (DoS) kwetsbaarheid in de aiohttp bibliotheek. Door een response met een overmatig aantal multipart headers te versturen, kan aiohttp meer geheugen gebruiken dan bedoeld, wat kan leiden tot een serviceonderbreking. Deze kwetsbaarheid treft versies van aiohttp tot en met 3.9.5. Een patch is beschikbaar en upgrade naar versie 3.13.4 wordt aanbevolen.
De kwetsbaarheid ontstaat doordat multipart headers niet onderhevig waren aan dezelfde groottebeperkingen als normale headers. Dit maakte het mogelijk om aanzienlijk meer data in het geheugen te laden dan beoogd. Hoewel andere beperkingen de impact enigszins beperken, kan een kwaadwillende actor nog steeds een DoS-aanval uitvoeren door een response met een extreem groot aantal multipart headers te versturen. Dit kan leiden tot een crash van de aiohttp server of een aanzienlijke vertraging, waardoor de beschikbaarheid van de webapplicatie wordt aangetast. De ernst van de impact hangt af van de configuratie van de server en de hoeveelheid beschikbare resources.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-01. Er is geen indicatie van actieve exploitatiecampagnes op dit moment. De CVSS score is 7.5 (HIGH), wat wijst op een potentieel significant risico. Er zijn geen bekende publicaties op KEV of EPSS scores beschikbaar op dit moment. De patch is beschikbaar op GitHub.
Applications relying on aiohttp for handling HTTP requests, particularly those deployed in public-facing environments or handling sensitive data, are at risk. Systems with older aiohttp versions (≤3.9.5) and those lacking robust rate limiting or WAF protection are especially vulnerable.
• python / server:
# Check aiohttp version
python -c "import aiohttp; print(aiohttp.__version__)"
# Monitor memory usage with top/htop
top• generic web:
# Check for unusually large headers in access logs (example)
grep -i 'multipart' /var/log/nginx/access.log | head -n 10disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van aiohttp naar versie 3.13.4 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) die het aantal multipart headers beperkt. Configureer de WAF om requests met een abnormaal hoog aantal headers te blokkeren. Controleer de aiohttp configuratie om te zien of er instellingen zijn die de grootte van headers verder kunnen beperken. Na de upgrade, verifieer de fix door een testrequest met een groot aantal multipart headers te versturen en controleer of het geheugengebruik binnen acceptabele grenzen blijft.
Actualice a la versión 3.13.4 o superior de AIOHTTP. Esta versión corrige la vulnerabilidad de denegación de servicio causada por el manejo excesivo de encabezados multipartes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34516 is a denial-of-service vulnerability in the aiohttp Python web framework where excessive multipart headers can cause memory exhaustion.
You are affected if you are using aiohttp versions 3.9.5 or earlier. Upgrade to 3.13.4 or later to resolve the issue.
Upgrade aiohttp to version 3.13.4 or later. Consider temporary workarounds like rate limiting if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed at this time, but the potential for exploitation exists due to the ease of crafting malicious requests.
Refer to the aiohttp GitHub repository for details and the patch: https://github.com/aio-libs/aiohttp/commit/8a74257b3804c9aac0bf644af93070f68f6c5a6f
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.