aiohttp 目录遍历漏洞

漏洞信息

漏洞名称： aiohttp 目录遍历漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web应用程序和API服务。它支持异步请求处理，适用于需要高并发处理的场景，如微服务架构和实时通信应用。由于其高效的性能和易用性，aiohttp在开发者社区中非常受欢迎。此次发现的目录遍历漏洞（CVE-2024-23334）允许攻击者通过构造特殊的HTTP请求，绕过安全限制，访问服务器上的任意文件。这种漏洞的根源在于aiohttp在处理静态文件请求时，未能正确验证和限制用户提供的文件路径，导致攻击者可以利用路径遍历序列（如’../‘）访问受限目录外的文件。此漏洞的高危性在于，攻击者无需任何身份验证即可利用此漏洞，可能导致敏感信息泄露，如配置文件、数据库凭证等，严重威胁到服务器的安全。此外，由于aiohttp的广泛使用，此漏洞的影响范围较大，建议所有使用aiohttp的用户尽快检查并更新到修复版本。

产品厂商： aiohttp

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/8db03f4bc39c5a504f1555563c26535a628bf750/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/aiohttp/3.9.1/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped