北京赛克艾威科技有限公司 2024-02-28
近日,赛克艾威网络安全实验室监测到aiohttp 路径遍历漏洞情报,当使用aiohttp启动Web服务并且静态资源解析使用了不安全的参数follow_symlinks=True时,不会检查读取的文件是否位于静态资源目录内,这将会导致目录遍历漏洞,攻击者利用该漏洞可读取服务器上任意文件。
攻击者利用该漏洞可读取服务器上任意文件。
1.0.5 <aiohttp < 3.9.2
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
https://github.com/aio-libs/aiohttp/tags