AIOHTTP 的 C 解析器 (llhttp) 接受响应头值中的空字节和控制字符 - 头注入/安全绕过

该漏洞的潜在影响非常严重。攻击者可以精心构造恶意的 HTTP 响应头，利用控制字符（如空字节或换行符）来操纵 request.url.origin() 等函数的行为。这可能导致应用程序错误地解析主机名或协议，从而实现安全绕过。例如，攻击者可能能够伪造请求，访问未经授权的资源，或者劫持会话。由于 aiohttp 广泛应用于 Python Web 应用程序中，该漏洞的潜在影响范围非常广，可能影响大量用户和系统。

Applications built using aiohttp, particularly those deployed in production environments and handling sensitive data, are at risk. Services relying on accurate header parsing for authentication, authorization, or routing are especially vulnerable. Shared hosting environments where users have limited control over server configurations are also at increased risk.

• python / server:

import aiohttp

async def check_aiohttp_version():
    try:
        import aiohttp
        print(f"aiohttp version: {aiohttp.__version__}")
        if aiohttp.__version__ <= '3.9.5':
            print("VULNERABLE: aiohttp version is less than or equal to 3.9.5")
        else:
            print("aiohttp version is not vulnerable.")
    except ImportError:
        print("aiohttp is not installed.")

if __name__ == '__main__':
    import asyncio
    asyncio.run(check_aiohttp_version())

• generic web:

curl -I https://example.com | grep -i 'Content-Type:'

Inspect the Content-Type header for unexpected characters or encodings that might indicate manipulation.

1. 2026-04-01Disclosure

   disclosure

1. 已保留2026-03-30
2. 发布日期2026-04-01
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-09

最有效的缓解措施是升级 aiohttp 库至 3.13.4 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，在反向代理或 Web 服务器层面上，对传入的请求头进行严格的验证和过滤，移除或转义任何可疑的控制字符。其次，可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止包含恶意控制字符的请求。最后，仔细审查应用程序的代码，确保对请求头进行正确的解析和处理，避免因控制字符导致的安全问题。升级后，请验证新版本是否正确处理了头部信息，确保漏洞已成功修复。