aiohttp 未授权访问漏洞

漏洞信息

漏洞名称： aiohttp 未授权访问漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 未授权访问

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web服务和应用程序。它支持WebSocket和HTTP/2，适用于需要高并发处理的场景。此次发现的漏洞CVE-2024-23334涉及未授权访问问题，允许攻击者在未经认证的情况下访问或操作本应受限的资源。这种漏洞通常由于配置错误或安全控制缺失导致，使得攻击者能够绕过正常的访问控制机制。利用此漏洞，攻击者可能获取敏感信息、执行未授权操作或进一步渗透系统。由于aiohttp的广泛使用，此漏洞对依赖该框架的Web应用构成了严重威胁，尤其是在未及时打补丁的情况下。攻击者可能无需任何认证即可利用此漏洞，增加了自动化和大规模攻击的风险。

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/8c71a611ea83ec634bd7039db8c729fa91ffeb6f/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/python3.11-slim/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped