发布日期：2024-11-18
更新日期：2025-01-07

受影响系统：

aiohttp aiohttp >= 3.10.6 < 3.10.11

描述：

---

CVE(CAN) ID: CVE-2024-52303

aiohttp是aio-libs开源的一个开源的用于asyncio和Python的异步HTTP客户端/服务器框架。
aiohttp 3.10.6至3.10.11之前版本存在资源释放不足漏洞，攻击者可利用该漏洞通过在每个请求的缓存中添加项目泄露内存，进而通过发送大量（10万到数百万）此类请求导致服务器内存资源耗尽。

<**>

建议：

---

厂商补丁：

aiohttp
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/aio-libs/aiohttp/commit/bc15db61615079d1b6327ba42c682f758fa96936

浏览次数：196
严重程度：0（网友投票）