Plataforma
python
Componente
aiohttp
Corrigido em
3.13.5
3.13.4
A vulnerabilidade CVE-2026-34516 afeta a biblioteca aiohttp, permitindo um ataque de negação de serviço (DoS). A falta de restrições de tamanho para cabeçalhos multipart pode levar ao consumo excessivo de memória, impactando a disponibilidade do serviço. A vulnerabilidade afeta versões do aiohttp até 3.9.5 e foi corrigida na versão 3.13.4.
Um atacante pode explorar essa vulnerabilidade enviando solicitações HTTP com um número excessivo de cabeçalhos multipart. A ausência de validação adequada do tamanho desses cabeçalhos permite que o servidor aloque uma quantidade desproporcional de memória para processá-los. Isso pode levar ao esgotamento dos recursos do sistema, resultando em lentidão, instabilidade ou até mesmo a interrupção completa do serviço aiohttp. Embora existam outras restrições que limitam o impacto, a exploração bem-sucedida pode causar uma interrupção significativa do serviço, especialmente em ambientes com recursos limitados ou alta carga.
A vulnerabilidade foi publicada em 01 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. Não há evidências de que essa vulnerabilidade seja listada no KEV (Known Exploited Vulnerabilities).
Applications relying on aiohttp for handling HTTP requests, particularly those deployed in public-facing environments or handling sensitive data, are at risk. Systems with older aiohttp versions (≤3.9.5) and those lacking robust rate limiting or WAF protection are especially vulnerable.
• python / server:
# Check aiohttp version
python -c "import aiohttp; print(aiohttp.__version__)"
# Monitor memory usage with top/htop
top• generic web:
# Check for unusually large headers in access logs (example)
grep -i 'multipart' /var/log/nginx/access.log | head -n 10disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
Vetor CVSS
A mitigação primária é atualizar a biblioteca aiohttp para a versão 3.13.4 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar workarounds temporários, como a configuração de limites de tamanho para cabeçalhos HTTP no servidor web ou proxy reverso. Implementar regras de firewall ou WAF (Web Application Firewall) para bloquear solicitações com um número excessivo de cabeçalhos multipart também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando os logs do servidor para garantir que não haja mais tentativas de solicitações com cabeçalhos multipart excessivos.
Actualice a la versión 3.13.4 o superior de AIOHTTP. Esta versión corrige la vulnerabilidad de denegación de servicio causada por el manejo excesivo de encabezados multipartes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34516 is a denial-of-service vulnerability in the aiohttp Python web framework where excessive multipart headers can cause memory exhaustion.
You are affected if you are using aiohttp versions 3.9.5 or earlier. Upgrade to 3.13.4 or later to resolve the issue.
Upgrade aiohttp to version 3.13.4 or later. Consider temporary workarounds like rate limiting if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed at this time, but the potential for exploitation exists due to the ease of crafting malicious requests.
Refer to the aiohttp GitHub repository for details and the patch: https://github.com/aio-libs/aiohttp/commit/8a74257b3804c9aac0bf644af93070f68f6c5a6f
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.