Aiohttp 是一个用于异步网络编程的Python库，支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作，这意味着它可以处理大量并发网络连接，而不会导致线程阻塞或性能下降。Aiohttp常用于需要高性能网络通信的应用程序，如高频交易平台、大规模并发API服务等。

漏洞详情
Aiohttp版本在1.0.5至3.9.2之间存在的路径遍历漏洞(CVE-2024-23334)，当使用 aiohttp 作为Web服务器并设置静态路由时，若 follow_symlinks 选项设为True，则不会验证指定文件路径是否位于根目录内，攻击者可以通过构造恶意的请求，访问服务器任意文件。

影响范围
1.0.5 <= aiohttp < 3.9.2

漏洞复现


修复建议
请关注厂商主页，下载最新版本。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ICUOCFGTB25WUT336BZ4UNYLSZOUVKBD/