aiohttp 路径遍历漏洞

漏洞信息

漏洞名称： aiohttp 路径遍历漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web服务和应用程序。它支持异步请求处理，适用于需要高并发处理的场景，如微服务架构和实时Web应用。由于其高效的性能和易用性，aiohttp在开发者社区中非常受欢迎。

该漏洞属于目录遍历类型，攻击者可以通过构造特殊的HTTP请求，绕过安全限制，访问服务器上的任意文件。这种漏洞的根源在于服务器未能正确验证和限制用户输入的路径，导致攻击者可以利用相对路径符号（如’../‘）访问受限目录之外的文件。

利用此漏洞，攻击者可以读取服务器上的敏感文件，如配置文件、数据库凭证或其他关键数据，从而导致信息泄露。在某些情况下，如果服务器配置不当，攻击者还可能执行任意代码，进一步危害服务器安全。此漏洞的利用通常不需要身份验证，且可以远程触发，因此风险等级较高。建议用户及时更新到修复了该漏洞的版本，以避免潜在的安全威胁。

产品厂商： aiohttp

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/9a79513ef02db9209fcfb773220decee177be8be/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/python3.11-slim/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped