CVE-2026-34515 CVSS 7.5 高危

CVE-2026-34515: AIOHTTP Windows路径信息泄露

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34515

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AIOHTTP

漏洞概述

AIOHTTP是Python的一个异步HTTP客户端/服务器框架。在3.13.4版本之前，该框架在Windows平台上存在一处信息泄露漏洞。具体而言，当处理静态资源请求时，如果资源位于NTLMv2远程路径上，服务器可能会意外暴露有关该路径的敏感信息。该漏洞无需用户交互且无需身份认证即可被利用，具有较高的安全风险，建议用户尽快升级至修复版本。

技术细节

该漏洞主要影响运行在Windows操作系统上的AIOHTTP框架，核心问题出在静态资源处理模块。当AIOHTTP被配置为服务来自NTLMv2认证的远程共享路径的静态文件时，由于对Windows文件系统路径或网络重定向器的处理不当，服务器在响应特定HTTP请求时，可能会在错误信息、响应头或重定向URL中暴露完整的远程路径或内部网络拓扑信息。攻击者无需任何身份认证（PR:N），仅需通过网络发送简单的HTTP请求（UI:N）即可触发此漏洞。虽然该漏洞不影响数据的完整性（I:N）和可用性（A:N），但泄露的路径信息（如UNC路径）可能包含用户名、服务器名或敏感的目录结构，为后续的横向移动或社会工程学攻击提供了关键情报。漏洞的根本原因在于版本3.13.4之前对Windows特定路径协议的安全校验不足。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别出目标服务器运行了Windows系统，并使用AIOHTTP框架提供静态资源服务。

STEP 2

步骤2：发送探测请求

攻击者向目标服务器的静态资源端点（如/static/）发送特制的HTTP GET请求，请求可能指向触发路径解析的资源。

STEP 3

步骤3：分析响应

攻击者检查HTTP响应头、响应体或错误页面。由于漏洞存在，服务器可能返回包含NTLMv2远程路径详细信息（如UNC路径）的敏感数据。

STEP 4

步骤4：利用信息

攻击者利用获取的内部路径信息，规划后续的渗透测试或攻击活动，如针对特定共享目录的暴力破解或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import aiohttp

async def check_path_leak(url):
    """
    PoC to check for NTLMv2 remote path information leakage.
    Target a static resource endpoint on a vulnerable Windows server.
    """
    async with aiohttp.ClientSession() as session:
        try:
            async with session.get(url) as resp:
                print(f"Status: {resp.status}")
                headers = dict(resp.headers)
                print(f"Response Headers: {headers}")
                
                text = await resp.text()
                # Check for common Windows path patterns in response body or headers
                if "\\" in str(headers) + text or ":" in text:
                    print(f"[!] Potential path information detected.")
                else:
                    print("[+] No obvious path leakage detected.")
        except Exception as e:
            print(f"Error connecting to target: {e}")

# Usage example:
# asyncio.run(check_path_leak("http://target-server:8080/static/test.txt"))

影响范围

AIOHTTP < 3.13.4

防御指南

临时缓解措施

如果无法立即升级版本，建议限制对静态资源处理程序的访问，例如通过防火墙规则仅允许受信任的IP地址访问，或者在反向代理层面过滤掉可能包含路径信息的响应头。同时，避免在Windows上将AIOHTTP直接配置为提供来自敏感NTLMv2远程共享的文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表