Aiohttp

Versiones afectadas: >1.0.5 Versiones corregidas: <3.9.2 Resumen Una mala configuración al apuntar a recursos estáticos en aiohttp cuando se emplea como servidor web puede provocar un Path Traversal pudiendo leer archivos internos del sistema. Revisión Cuando un servidor emplea aiohttp como servidor web. Debemos configurar rutas estáticas donde es necesario indicar la ruta raíz de los archivos estáticos (como por ejemplo /static/). Si además empleamos follow_symlinks y le indicamos True esto hará que no compruebe que la ruta apuntada se encuentra dentro del directorio raíz de los archivos estáticos. ...