6.4средняя
BDU:2025-03458 (CVE-2024-27306)
Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность системы
Опубликовано: 2025-03-27
Описание
Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp связана с недостаточной очисткой данных, предоставленных пользователем на страницах индекса для обработки статических файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на конфиденциальность и целостность системы
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedSUSE Linux Enterprise Module for Public Cloud (15 SP2)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Manager Retail Branch Server (4.1)Suse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise High Performance Computing (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)SUSE Linux Enterprise Module for Public Cloud (15 SP3)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Public Cloud (15 SP4)SUSE Enterprise Storage (7.1)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)
Способ устранения
Использование рекомендаций:
https://github.com/aio-libs/aiohttp/commit/28335525d1eac015a7e7584137678cbb6ff19397
https://github.com/aio-libs/aiohttp/pull/8319
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-7gpw-8wmc-pm8g
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27306
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-27306
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-27306.html
Оценка CVSS
| Балл | 6.4 — средняя опасность |
Источники и патчи