aiohttp 3.9.1 爆严重目录遍历漏洞（CVE 待分配）

aiohttp 3.9.1 受目录遍历漏洞影响（PoC 已发布）

安全研究人员近日披露了流行的 Python 异步 HTTP 客户端/服务器框架 aiohttp 3.9.1 中存在的一个严重目录遍历漏洞（Directory Traversal Vulnerability）。目前，已有概念验证（PoC）攻击代码公开，展示了攻击者如何利用该漏洞访问预期目录结构之外的敏感文件。

技术细节

该漏洞影响 aiohttp 3.9.1 版本，允许未经身份验证的攻击者通过精心构造的 HTTP 请求执行目录遍历攻击。截至发稿时，该漏洞尚未分配 CVE 编号，但相关漏洞利用代码已在 Exploit-DB（ID 52474）发布，凸显了未授权文件泄露的风险。

主要技术细节包括：

• 受影响软件：aiohttp 3.9.1（Python 异步 HTTP 框架）
• 攻击向量：包含路径遍历序列（如 ../）的恶意 HTTP 请求
• 影响：易受攻击的服务器上任意文件读取
• 漏洞利用代码：Exploit-DB 已公开 PoC

影响分析

运行 aiohttp 3.9.1 服务器模式的组织面临敏感文件泄露的风险，包括配置文件、凭据或其他关键数据。由于该漏洞可被远程且无需身份验证利用，对受影响的部署而言属于高危问题。

考虑到 PoC 已公开，安全团队应假设漏洞可能已被主动利用。建议立即进行修补或采取缓解措施。

建议措施

1. 立即升级：关注 aiohttp 项目官方补丁发布，并尽快应用。
2. 临时缓解措施：
   • 将 aiohttp 服务器置于防火墙或 VPN 后方，限制访问。
   • 实施输入验证，阻止路径遍历序列（如 ../）。
   • 如无必要，禁用目录列表功能。
3. 监控漏洞利用：检查服务器日志，查找包含 ../ 或其他遍历模式的可疑请求。

更多详情，请参阅 Exploit-DB 上的原始 PoC。

本文为持续更新报道，将随新信息发布而更新。