Een kritieke kwetsbaarheid is ontdekt in AIOHTTP, een asynchroon HTTP-client/server framework voor Python. De kwetsbaarheid, aangeduid als CVE-2025-53643, maakt het mogelijk voor een aanvaller om HTTP-request-smoesjes uit te voeren door onjuiste verwerking van chunked trailer sections in de HTTP-requests. Dit kan de aanvaller in staat stellen om firewall- of proxybeveiligingen te omzeilen.
Overzicht
De kwetsbaarheid is aanwezig in versies van AIOHTTP vóór versie 3.12.14 en is van toepassing op installaties zonder de gebruikelijke C-extensies, of waar de variabele AIOHTTP_NO_EXTENSIONS is ingeschakeld. Hierdoor kan een aanvaller effectief HTTP-verzoeken smokkelen om beveiligingsmaatregelen te omzeilen.
Aanbevelingen
- Update AIOHTTP naar versie 3.12.14 of hoger om beveiligingspatches toe te passen die deze kwetsbaarheid verhelpen.
- Controleer handmatig of de correcte C-extensies zijn geïnstalleerd om risico’s tot een minimum te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53643?
Dit is een kwetsbaarheid in AIOHTTP die verband houdt met onjuiste interpretatie van HTTP-verzoeken, waardoor HTTP-request-smoesjes mogelijk zijn.
Welke systemen zijn kwetsbaar voor CVE-2025-53643?
Systemen met AIOHTTP geïnstalleerd in versies lager dan 3.12.14, vooral zonder de juiste C-extensies, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.12.14 bevat een patch voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk HTTP-verzoeken smokkelen om beveiligingsmaatregelen zoals firewalls of proxy’s te omzeilen.
