https://cvedelasemana.github.io/tags/aiohttp/ Recent content in Aiohttp on CVE De La Semana Hugo -- 0.155.3 en-us https://cvedelasemana.github.io/posts/cve-2024-23334/ Mon, 01 Jan 0001 00:00:00 +0000 https://cvedelasemana.github.io/posts/cve-2024-23334/ <ul> <li>Versiones afectadas: &gt;1.0.5</li> <li>Versiones corregidas: &lt;3.9.2</li> </ul> <hr> <h1 id="resumen">Resumen</h1> <p>Una mala configuración al apuntar a recursos estáticos en <code>aiohttp</code> cuando se emplea como servidor web puede provocar un Path Traversal pudiendo leer archivos internos del sistema.</p> <h1 id="revisión">Revisión</h1> <p>Cuando un servidor emplea <code>aiohttp</code> como servidor web. Debemos configurar rutas estáticas donde es necesario indicar la ruta raíz de los archivos estáticos <em>(como por ejemplo /static/)</em>. Si además empleamos <code>follow_symlinks</code> y le indicamos <code>True</code> esto hará que no compruebe que la ruta apuntada se encuentra dentro del directorio raíz de los archivos estáticos.</p>