Sintesi

Rilevata una vulnerabilità con gravità “alta” in AIOHTTP, framework client/server HTTP utilizzato per creare applicazioni web ad alte prestazioni che richiedono la gestione di elevate richieste HTTP.

Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’invio di richieste POST opportunamente predisposte (multipart/form-data) che, al momento dell’elaborazione, portano il codice a una condizione di loop infinito. Tale condizione impedice l’elaborazione di uteriori richieste e provoca la compromissione della disponibilità del servizio sulle istanze interessate.

Tipologia

• Denial of Service

Prodotti e versioni affette

Aiohttp, versioni precedenti alla 3.9.4

Azioni di mitigazione

Si raccomanda di aggiornare le versioni vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-30251

Riferimenti

https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5m98-qgg9-wh84

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.