aiohttp Directory Traversal Vulnerability

漏洞信息

漏洞名称： aiohttp Directory Traversal Vulnerability

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web服务和应用程序。它支持服务器和客户端功能，常用于需要高并发处理的Web应用场景。由于其高效的异步处理能力，aiohttp在开发社区中非常受欢迎。此次发现的目录遍历漏洞（CVE-2024-23334）允许攻击者通过构造特殊的HTTP请求，绕过安全限制，访问服务器上的任意文件。这种漏洞的根源在于aiohttp在处理静态文件请求时，未能正确验证和限制用户输入的路径，导致路径遍历攻击成为可能。攻击者利用此漏洞，可以读取服务器上的敏感文件，如配置文件、密码文件等，严重时可能导致服务器被完全控制。此漏洞的利用不需要认证，且可以远程执行，因此被评级为高危。建议所有使用aiohttp的用户尽快检查并更新到安全版本，以避免潜在的安全风险。

产品厂商： aiohttp

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/44c999b3aafe9765687c5518652b7c6ac3a442a4/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/aiohttp/3.9.1/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped