aiohttp 目录遍历漏洞

漏洞信息

漏洞名称： aiohttp 目录遍历漏洞

漏洞编号：

• CVE： CVE-2024-23334

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： aiohttp是一个基于Python的异步HTTP客户端/服务器框架，广泛用于构建高性能的Web应用程序和API服务。它支持异步请求处理，适用于需要高并发处理的场景，如微服务架构和实时通信应用。由于其高效和易用性，aiohttp在开发者社区中非常受欢迎。

该漏洞属于目录遍历类型，攻击者可以通过构造特殊的HTTP请求，绕过安全限制，访问服务器上的任意文件。这种漏洞的根源在于应用程序未能正确验证用户输入，特别是对文件路径的处理不当，导致攻击者可以利用路径遍历序列（如’../‘）访问受限目录之外的文件。

利用此漏洞，攻击者可以读取服务器上的敏感文件，如配置文件、数据库凭证或源代码，可能导致信息泄露甚至系统被完全控制。由于aiohttp通常作为Web服务运行，这种漏洞可能被远程利用，无需用户交互，增加了其危险性。因此，建议所有使用aiohttp的用户尽快检查并更新到修复了该漏洞的版本。

产品厂商： aiohttp

产品名称： aiohttp

来源： https://github.com/vulhub/vulhub/blob/0f81de59674e1ba1c453f2f31fc1ebe205ef3491/python%2FCVE-2024-23334%2Fdocker-compose.yml

类型： vulhub/vulhub:github issues

POC详情

services:
  aiohttp-app:
    build:
      context: .
      dockerfile: ../../base/python/aiohttp/3.9.1/Dockerfile
    container_name: aiohttp
    ports:
      - "8080:8080"
    volumes:
      - ./static:/app/static:ro
    restart: unless-stopped