低于 3.9.2 的 AIOHTTP 版本容易受到目录遍历的影响允许未经身份验证的攻击者通过特别构建的请求访问敏感文件。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:1878 公告中提及的多个漏洞影响。

    Red Hat Update Infrastructure (RHUI) 提供高度可扩展、高度冗余的框架，以便您管理存储库和内容。它还能使云提供商向 Red Hat Enterprise Linux (RHEL) 实例提供内容和更新。

    安全修复：

    * python-django：EmailValidator/URLValidator 中潜在的正则表达式拒绝服务漏洞 (CVE-2023-36053)

    * python-aiohttp：通过 llhttp HTTP 请求解析器触发的 HTTP 请求走私漏洞 (CVE-2023-37276)

    * python-django：``django.utils.encoding.uri_to_iri()`` 中潜在的拒绝服务漏洞 (CVE-2023-41164)

    * python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)

    * python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

    * aiohttp：HTTP 请求修改 (CVE-2023-49081)

    * python-cryptography：加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)

    * jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

    * aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

    * python-ecdsa：容易受到 Minerva 攻击 (CVE-2024-23342)

    * python-aiohttp：http 请求走私 (CVE-2024-23829)

    * Django：“intcomma”筛选器遭到拒绝服务攻击 (CVE-2024-24680)

    * python-django：django.utils.text.Truncator.words() 可能会发生正则表达式拒绝服务 (CVE-2024-27351)

    * aiohttp：如果用户控制使用 aiohttp 客户端的 HTTP 方法，则发生 CRLF 注入 (CVE-2023-49082)

    此 RHUI 更新修复以下错误：

    * 由于使用 distutils，RHEL 8.10 Beta 上的 rhui-installer 失败。此问题已通过更新到不使用 distutils 的更新版本的 ansible-collection-community-crypto 得以解决。

    此 RHUI 更新引入了以下增强：

    * 当首次运行或随时重新运行 RHUI 安装程序或时，本机 Ansible 模块现在用于更新 RHUA 服务器上的程序包。在 rhui-installer 命令行上使用 --ignore-newer-rhel-packages 标记可防止进行此更新。

    * PulpCore 已更新到版本 3.39。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8/9 主机上安装的程序包受到 RHSA-2024:1640 公告中提及的多个漏洞影响。

  - golang: net/http/internal：通过引起资源消耗的 HTTP 请求造成拒绝服务 (DoS) (CVE-2023-39326)

  - GitPython：盲目包含本地文件 (CVE-2023-41040)

  - axios：cookie 中存储的机密数据被泄露 (CVE-2023-45857)

  - python-twisted：twisted.web 中存在无序 HTTP 管道响应 (CVE-2023-46137)

  - python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

  - python-cryptography：加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)

  - golang-fips/openssl：用于加密和解密 RSA 负载的代码中存在内存泄漏 (CVE-2024-1394)

  - jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

  - python-aiohttp：http 请求走私 (CVE-2024-23829)

  - Django：“intcomma”模板过滤器中的拒绝服务 (CVE-2024-24680)

  - python-django：django.utils.text.Truncator.words() 可能会发生正则表达式拒绝服务 (CVE-2024-27351)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4041 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4041-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包：python-aiohttp 版本：3.7.4-1+deb11u1 CVE ID：CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian 缺陷：

    aiohttp 是用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。目前发现 aiohttp 中有若干问题，这些问题与 HTTP 解析器、链接遍历和索引页面上的 XSS 有关。

    CVE-2023-47627

         AIOHTTP 中的 HTTP 解析器存在大量标头解析问题，这些问题可导致请求走私。仅在启用 AIOHTTP_NO_EXTENSIONS（或不使用预构建的 wheel）的情况下才使用此解析器。

    CVE-2023-47641

        受影响的 aiohttp 版本存在与不一致的 HTTP 协议解释有关的安全漏洞。HTTP/1.1 是持久性协议，如果同时存在 Content-Length(CL) 和 Transfer-Encoding(TE) 标头值，则此漏洞可能会导致解析 HTTP 的两个实体的解释不正确，我们可以利用此错误解析来毒化其他套接字。可能的概念验证 (POC) 是配置同时接受 CL 和 TE 标头的反向代理（前端）并使用 aiohttp 作为后端。aiohttp 会解析任何具有 chunked 的内容，因此我们可以将 chunked123 作为 TE 传递，前端实体会忽略此标头并解析 Content-Length。此漏洞的影响在于：它可能会绕过任何代理规则，使套接字中毒（例如传递身份验证标头），如果同时存在开放重定向漏洞，则攻击者可将两者结合将任意用户重定向至其他网站并记录此请求。

    CVE-2023-49081

        不当验证使攻击者可以修改 HTTP 请求（例如插入新标头），或在攻击者控制 HTTP 版本的情况下创建新的 HTTP 请求。仅当攻击者可以控制请求的 HTTP 版本时，才会产生此漏洞。

    CVE-2023-49082

        不当验证使攻击者可以修改 HTTP 请求（例如插入新标头），或在攻击者控制 HTTP 方法的情况下创建新的 HTTP 请求。仅当攻击者可以控制请求的 HTTP 方法（GET、POST 等）时，才会产生此漏洞。如果攻击者可以控制请求的 HTTP 版本，则能够修改此请求（请求走私）。

    CVE-2024-23334

        将 aiohttp 用作 Web 服务器并配置静态路由时，需要指定静态文件的根路径。
        此外，“follow_symlinks”选项可用于确定是否跟随静态根目录以外的符号链接。
        当“follow_symlinks”设置为 True 时，程序不会验证读取的文件是否在根目录内。这可能导致目录遍历漏洞，造成用户可在未经授权的情况下访问系统上的任意文件，即使在没有符号链接的情况下亦然。建议使用的缓解措施是禁用 follow_symlinks 并使用反向代理。

    CVE-2024-23829

        Python HTTP 解析器的安全性敏感部分在允许的字符集中保留了轻微差异，必须触发错误处理才能稳定地匹配代理的帧边界，从而防止注入其他请求。此外，验证可触发异常，但这些异常的处理方式与其他格式错误的输入不一致。比互联网标准的要求宽松可以协助请求走私，具体取决于部署环境。未处理的异常会造成应用程序服务器和/或其日志记录设施过量消耗资源。

    CVE-2024-27306

        用于处理静态文件的索引页面上存在 XSS 漏洞。

    CVE-2024-30251

         在受影响的版本中，攻击者可发送特别构建的 POST (multipart/form-data) 请求。当 aiohttp 服务器处理该请求时，服务器将进入无限循环，且无法处理任何进一步请求。攻击者可在发送单个请求后阻止应用程序处理请求。

    CVE-2024-52304

        Python 解析器无法正确解析区块扩展中的换行符，这在某些情况下可能导致请求走私漏洞。如果安装了纯 Python 版本的 aiohttp（即
        没有常见的 C 扩展）或启用了“AIOHTTP_NO_EXTENSIONS”，攻击者或许可以执行请求走私攻击，以绕过某些防火墙或代理保护。

    对于 Debian 11 bullseye，这些问题已在 3.7.4-1+deb11u1 版本中修复。

    我们建议您升级 python-aiohttp 程序包。

    如需了解 python-aiohttp 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/python-aiohttp

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:1536 公告中提及的多个漏洞影响。

  - Ansible Automation Hub：不安全的 galaxy-importer tarfile 提取 (CVE-2023-5189)

  - python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)

  - python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

  - aiohttp：HTTP 请求修改 (CVE-2023-49081)

  - jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

  - python-aiohttp：http 请求走私 (CVE-2024-23829)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - aiohttp 是用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用 aiohttp 作为 Web 服务器并配置静态路由时，需要指定静态文件的根路径。
    此外，“follow_symlinks”选项还可用于确定是否遵循静态根目录之外的符号链接。当“follow_symlinks”设置为 True 时，程序不会验证读取的文件是否在根目录内。这可能导致目录遍历漏洞，造成用户可在未经授权的情况下访问系统上的任意文件，即使在没有符号链接的情况下亦然。
    建议使用的缓解措施是禁用 follow_symlinks 并使用反向代理。版本 3.9.2 修复了此问题。(CVE-2024-23334)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:2010 公告中提及的多个漏洞的影响。

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    安全修复：
    * python-pygments：pygments 中的 ReDoS (CVE-2022-40896)
    * python-pycryptodomex：PyCryptodome 和 pycryptodomex 中 OAEP 解密的边信道泄漏 (CVE-2023-52323)
    * satellite：satellite 中的算术溢出 (CVE-2023-4320)
    * automation-hub: Ansible Automation Hub：不安全的 galaxy-importer tarfile 提取 (CVE-2023-5189)
    * jetty：向 CgiServlet 中的用户输入添加不正确的引号 (CVE-2023-36479)
    * python-aiohttp：通过 llhttp HTTP 请求解析器触发的 HTTP 请求走私漏洞 (CVE-2023-37276)
    * rubygem-activesupport：本地加密文件的文件泄露 (CVE-2023-38037)
    * jetty：不当验证 HTTP/1 content-length (CVE-2023-40167)
    * python-django：`django.utils.encoding.uri_to_iri()` 中潜在的拒绝服务漏洞 (CVE-2023-41164)
    * python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)
    * python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)
    * python-aiohttp：HTTP 请求修改 (CVE-2023-49081)
    * python-aiohttp：如果用户控制使用 aiohttp 客户端的 HTTP 方法，则发生 CRLF 注入 (CVE-2023-49082)
    * rubygem-puma：解析分块传输编码正文时，HTTP 请求走私 (CVE-2024-21647)
    * rubygem-audited：争用条件可导致审核日志被错误地归因于错误的用户 (CVE-2024-22047)
    * python-jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时发生 HTML 属性注入 (CVE-2024-22195)
    * python-aiohttp：Follow_symlinks 目录遍历漏洞 (CVE-2024-23334)
    * python-aiohttp：HTTP 请求走私 (CVE-2024-23829)

    其他变更：
    此更新还修复了多个缺陷并添加了多项增强功能。

    “参考”部分链接的版本说明文档中提供这些更改的文档。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114961	AIOHTTP < 3.9.2 目录遍历	Web App Scanning	Component Vulnerability	2025/9/12	2025/9/12	high
193467	RHEL 8：RHUI 4.8 版本 - 安全更新、缺陷修复和增强（中危）(RHSA-2024:1878)	Nessus	Red Hat Local Security Checks	2024/4/18	2024/11/7	critical
193086	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新（中危）(RHSA-2024:1640)	Nessus	Red Hat Local Security Checks	2024/4/9	2024/11/7	critical
214900	Debian dla-4041：python-aiohttp-doc - 安全更新	Nessus	Debian Local Security Checks	2025/2/3	2025/8/18	medium
194355	RHEL 8：Satellite 6.14.3 异步安全更新（重要）(RHSA-2024:1536)	Nessus	Red Hat Local Security Checks	2024/4/28	2025/3/6	high
253129	Linux Distros 未修补的漏洞：CVE-2024-23334	Nessus	Misc.	2025/8/21	2025/10/14	high
199805	RHEL 8：Satellite 6.15.0（重要）(RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high

检测

插件搜索

high

critical

critical

medium

high

high

high