ГлавнаяБаза уязвимостей БДУ → BDU:2025-03458
6.4средняя

BDU:2025-03458 (CVE-2024-27306)

Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность системы
Опубликовано: 2025-03-27
Описание

Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp связана с недостаточной очисткой данных, предоставленных пользователем на страницах индекса для обработки статических файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на конфиденциальность и целостность системы

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedSUSE Linux Enterprise Module for Public Cloud (15 SP2)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Manager Retail Branch Server (4.1)Suse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise High Performance Computing (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)SUSE Linux Enterprise Module for Public Cloud (15 SP3)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Public Cloud (15 SP4)SUSE Enterprise Storage (7.1)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)
Способ устранения

Использование рекомендаций:
https://github.com/aio-libs/aiohttp/commit/28335525d1eac015a7e7584137678cbb6ff19397
https://github.com/aio-libs/aiohttp/pull/8319
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-7gpw-8wmc-pm8g

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27306

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-27306

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-27306.html

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/aio-libs/aiohttp/commit/28335525d1eac015a7e7584137678cbb6ff19397https://github.com/aio-libs/aiohttp/pull/8319https://github.com/aio-libs/aiohttp/security/advisories/GHSA-7gpw-8wmc-pm8ghttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2024-27306https://access.redhat.com/security/cve/CVE-2024-27306https://www.suse.com/security/cve/CVE-2024-27306.html
Проверьте безопасность своего сайта и почты → Полная проверка домена