一、 漏洞 CVE-2024-42367 基础信息
漏洞标题
在aiohttp中,压缩文件作为符号链接不受路径遍历保护
来源:AIGC 神龙大模型
漏洞描述信息
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。在 3.10.2 版本之前,如果包含有压缩变体(带有 `.gz` 或 `.br` 扩展名的文件)的静态路由试图访问位于根目录之外的路径,那么当这些变体是符号链接时,它们可能会受到路径遍历的攻击。服务器通过将请求的 URL 解析为绝对路径,并且检查该路径相对于根路径的相对位置,从而防止根目录之外的路径遍历。然而,当 `FileResponse` 类在查找压缩变体时,这些检查并未执行,而是自动遵循符号链接,使用 `Path.stat()` 和 `Path.open()` 来发送文件。3.10.2 版本包含了解决该问题的补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
In aiohttp, compressed files as symlinks are not protected from path traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
aiohttp is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.10.2, static routes which contain files with compressed variants (`.gz` or `.br` extension) are vulnerable to path traversal outside the root directory if those variants are symbolic links. The server protects static routes from path traversal outside the root directory when `follow_symlinks=False` (default). It does this by resolving the requested URL to an absolute path and then checking that path relative to the root. However, these checks are not performed when looking for compressed variants in the `FileResponse` class, and symbolic links are then automatically followed when performing the `Path.stat()` and `Path.open()` to send the file. Version 3.10.2 contains a patch for the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
aiohttp 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
aiohttp是aio-libs开源的一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。 aiohttp 3.10.2之前版本存在安全漏洞,该漏洞源于FileResponse类在查找压缩文件变体时没有执行与根目录相对的路径检查,并且符号链接在执行Path.stat和Path.open发送文件时会自动跟随,导致容易受到路径遍历攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42367 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-42367 的情报信息

  • 标题: [PR #8652/b0536ae6 backport][3.10] Do not follow symlinks for compressed file variants by patchback[bot] · Pull Request #8653 · aio-libs/aiohttp · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    [PR #8652/b0536ae6 backport][3.10] Do not follow symlinks for compressed file variants by patchback[bot] · Pull Request #8653 · aio-libs/aiohttp · GitHub

  • 标题: Compressed files as symlinks are not protected from path traversal · Advisory · aio-libs/aiohttp · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Compressed files as symlinks are not protected from path traversal · Advisory · aio-libs/aiohttp · GitHub

  • 标题: [PR #8652/b0536ae6 backport][3.10] Do not follow symlinks for compres… · aio-libs/aiohttp@ce2e975 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    [PR #8652/b0536ae6 backport][3.10] Do not follow symlinks for compres… · aio-libs/aiohttp@ce2e975 · GitHub

  • 标题: aiohttp/aiohttp/web_fileresponse.py at e0ff5246e1d29b7710ab1a2bbc972b48169f1c05 · aio-libs/aiohttp · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    aiohttp/aiohttp/web_fileresponse.py at e0ff5246e1d29b7710ab1a2bbc972b48169f1c05 · aio-libs/aiohttp · GitHub

  • 标题: aiohttp/aiohttp/web_urldispatcher.py at e0ff5246e1d29b7710ab1a2bbc972b48169f1c05 · aio-libs/aiohttp · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    aiohttp/aiohttp/web_urldispatcher.py at e0ff5246e1d29b7710ab1a2bbc972b48169f1c05 · aio-libs/aiohttp · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-42367