aiohttp 目录遍历漏洞

漏洞信息

漏洞名称： aiohttp 目录遍历漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web服务和应用程序。它支持异步请求处理，适用于需要高并发处理的场景，如微服务架构、实时通信应用等。由于其高效和易用性，aiohttp在开发者社区中非常受欢迎。此次发现的目录遍历漏洞（CVE-2024-23334）允许攻击者通过构造特殊的HTTP请求，访问服务器上的任意文件，包括敏感配置文件、用户数据等。漏洞的根源在于aiohttp在处理静态文件请求时，未能正确验证和限制用户提供的路径参数，导致路径遍历攻击成为可能。这种漏洞的存在可能导致敏感信息泄露，进一步可能被用于其他攻击，如身份伪造、服务中断等。攻击者无需认证即可利用此漏洞，且攻击可以自动化进行，对受影响系统构成严重威胁。

产品厂商： aiohttp

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/766b0fafb5963d02a244498617cc24a7c2fe2fe2/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/aiohttp3.9.1/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped