Gesloten cyclus: Waarneming → Onderzoek → Evaluatie → Feedback Pentest + Red Teaming (risicogebaseerd) CTEM + AEV voor continu valideren
Eerste lijn in control • NCSC aligned • Traceability
Publiek EUVD item

EUVD-2024-0001

CVSS: 5.9 EPSS: 93.3 CVSS v3.1

Publicatie: 2024-01-29 · Update: 2026-02-04

Samenvatting

aiohttp is een asynchroon HTTP client/server framework voor asyncio en Python. Bij het gebruik van aiohttp als webserver en het configureren van statische routes, is het noodzakelijk om het rootpad voor statische bestanden op te geven. Daarnaast kan de optie 'follow_symlinks' gebruikt worden om te bepalen of symbolische links buiten de statische hoofdmap gevolgd moeten worden. Als 'follow_symlinks' is ingesteld op True, is er geen validatie om te controleren of het lezen van een bestand zich binnen de root directory bevindt. Dit kan leiden tot kwetsbaarheden in directory traversal, wat kan resulteren in ongeautoriseerde toegang tot willekeurige bestanden op het systeem, zelfs als er geen symlinks aanwezig zijn. Het uitschakelen van follow_symlinks en het gebruik van een reverse proxy zijn aanbevolen oplossingen. Versie 3.9.2 verhelpt dit probleem.

Wat betekent dit praktisch?

  • Gebruik dit als externe signalering, niet als automatisch bewijs van impact op jouw omgeving.
  • Als je dit item intern wilt triagen: noteer versies, exposure (internet/intern) en exploit-signalering.
  • In HackSec kun je dit koppelen aan stack-profielen en alert policies (achter login).
Terug Inloggen