aiohttp 未授权访问漏洞

漏洞信息

漏洞名称： aiohttp 未授权访问漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 未授权访问

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web服务和应用程序。它支持服务器和客户端功能，常用于需要高并发处理的场景。由于其高效的异步处理能力，aiohttp在现代Web开发中非常受欢迎。此次发现的漏洞CVE-2024-23334涉及未授权访问问题，可能允许攻击者在未经认证的情况下访问或操作受保护的资源。这种漏洞通常由于配置错误或访问控制机制缺失引起，可能导致敏感信息泄露或服务被未授权操作。攻击者可能利用此漏洞远程访问系统内部资源，无需任何形式的身份验证，从而对系统安全构成严重威胁。鉴于aiohttp的广泛应用，此漏洞的影响范围可能相当广泛，建议用户及时检查并更新到安全版本。

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/002ede54c20f26edb1121d305a3592737596ad00/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/python3.11-slim/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped