CVE-2025-69226 是 aiohttp 库中的路径归一化漏洞。该漏洞允许攻击者确定静态文件路径组件的存在,可能泄露敏感信息。此问题影响 aiohttp 版本小于或等于 3.9.5 的用户。已发布修复版本 3.13.3。
此漏洞的关键在于 web.static() 函数的使用(不建议在生产环境中使用)。攻击者可以通过构造特定的请求来利用此漏洞,从而确定服务器上绝对路径组件的存在。虽然不能直接访问文件内容,但攻击者可以利用这些信息进行进一步的侦察和攻击,例如尝试访问其他敏感资源或利用其他漏洞。如果应用程序依赖于 web.static() 函数处理静态文件,则风险较高。该漏洞的潜在影响包括信息泄露和潜在的进一步攻击。
该漏洞已于 2026-01-05 公开。目前没有已知的公开利用程序 (PoC),但该漏洞的潜在影响不容忽视。由于该漏洞的 CVSS 评分为低,且需要特定的配置(使用 web.static()),因此被添加到 CISA KEV 目录的可能性较低。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications utilizing aiohttp version 3.9.5 or earlier, particularly those employing the web.static() function for serving static files, are at risk. Python developers building web applications and relying on aiohttp for HTTP handling should prioritize upgrading their dependencies.
• python / server:
import aiohttp
print(aiohttp.__version__)• python / supply-chain:
Check project dependencies for aiohttp versions <= 3.9.5 using pip freeze | grep aiohttp.
• generic web:
Inspect application logs for requests targeting static files with unusual path parameters.
disclosure
patch
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
最有效的缓解措施是升级到 aiohttp 3.13.3 或更高版本。如果无法立即升级,请避免在生产环境中使用 web.static() 函数。如果必须使用,请确保对输入进行严格的验证和清理,以防止路径遍历攻击。可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并监控应用程序日志以检测可疑活动。建议定期审查应用程序的安全配置,并确保遵循最佳安全实践。
将 AIOHTTP 库升级到 3.13.3 或更高版本。这修复了静态文件路径信息泄露漏洞。可以使用 pip 升级:`pip install aiohttp==3.13.3`。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-69226 是 aiohttp 库中一个路径归一化漏洞,允许攻击者确定静态文件路径组件的存在。
如果您正在使用 aiohttp 版本小于或等于 3.9.5,则可能受到影响。
升级到 aiohttp 3.13.3 或更高版本以修复此问题。
目前没有已知的公开利用程序,但建议及时采取缓解措施。
请访问 aiohttp GitHub 仓库的提交记录:https://github.com/aio-libs/aiohttp/commit/f2a86fd5ac0383000d1715afddfa704413f0711e
上传你的 requirements.txt 文件,立即知道是否受影响。