Python 库 aiohttp < 3.14.1 多种漏洞

high Nessus 插件 ID 324958

简介

远程主机上安装的 Python 库受到多个漏洞的影响。

描述

远程主机上安装的 aiohttp Python 库版本低于 3.14.1。因此,该应用程序受到多个漏洞的影响:

- 在之前, 3.14.1对于可排队的流水线请求数量没有限制。攻击者可能会使用管道请求来使用过多内存,从而可能导致 DoS。(CVE-2026-54273)

- 在之前的版本 3.14.1中,重复使用现有连接时可绕过 server_hostname TLS SNI 检查。
如果应用程序向同一域发出多个请求,但每个请求的server_hostname参数不同,则后续调用可能会通过重新使用现有连接而成功,而这些连接本应因 TLS SNI 检查而遭到拒绝。(CVE-2026-54275)

- 在之前的版本 3.14.1中,C 解析器中 HTTP 请求的某些部分可以绕过max_line_size检查。如果使用经过优化的 C 解析器(预构建轮中的默认值),则攻击者可能会通过 HTTP 解析器发送超大的行并使用过多内存,从而可能导致 DoS。(CVE-2026-54277)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 aiohttp 版本或更高版本 3.14.1 。

另见

http://www.nessus.org/u?2635dbf0

http://www.nessus.org/u?636e7866

http://www.nessus.org/u?b75bceb4

http://www.nessus.org/u?c4b4a434

插件详情

严重性: High

ID: 324958

文件名: python_aiohttp_3_14_1.nasl

版本: 1.3

类型: Local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/7/3

最近更新时间: 2026/7/7

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3

百分位: 23.71

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 分数来源: CVE-2026-54279

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: High

Base Score: 8.7

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2026-54277

漏洞信息

CPE: cpe:/a:aiohttp:aiohttp

易利用性: No known exploits are available

补丁发布日期: 2026/6/15

漏洞发布日期: 2026/6/15

参考资料信息

CVE: CVE-2026-54273, CVE-2026-54275, CVE-2026-54277, CVE-2026-54279

IAVA: 2026-A-0636