CVE-2026-34519 CVSS 5.3 中危

CVE-2026-34519 aiohttp HTTP响应头注入漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34519

漏洞类型

HTTP响应头注入 (CRLF注入)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

aiohttp

漏洞概述

aiohttp是Python的异步HTTP客户端/服务器框架。在3.13.4版本之前，攻击者若能控制创建Response时的reason参数，即可注入额外的HTTP头部。此漏洞可能导致HTTP响应拆分、缓存投毒等安全风险，目前已在3.13.4版本中修复。

技术细节

该漏洞产生于aiohttp在构建HTTP响应时未对`reason`参数进行严格的输入验证。HTTP协议的响应行由HTTP版本、状态码和Reason Phrase组成。攻击者如果能够控制`reason`参数并插入CRLF（\r\n）字符，就可以中断原始的HTTP头部结构，并插入任意自定义的头部。这种HTTP响应头注入攻击可能被利用来执行跨站脚本攻击（XSS）、设置恶意Cookie或进行缓存投毒，从而影响应用的安全性。

攻击链分析

STEP 1

步骤1

攻击者探测目标应用是否使用了存在漏洞的aiohttp版本（<3.13.4）。

STEP 2

步骤2

攻击者寻找能够控制HTTP响应reason参数的接口或输入点。

STEP 3

步骤3

攻击者构造包含CRLF（\r\n）字符的恶意Payload，试图在响应中注入自定义头部。

STEP 4

步骤4

服务器处理请求并将恶意reason返回，导致客户端接收到包含恶意头部的响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
from aiohttp import web

async def handle(request):
    # Simulating attacker-controlled input
    # CRLF characters (\r\n) are used to inject a new header
    malicious_reason = "OK\r\nX-Malicious-Header: pwned\r\n"
    return web.Response(status=200, reason=malicious_reason, text="Hello")

app = web.Application()
app.add_routes([web.get('/', handle)])

if __name__ == '__main__':
    web.run_app(app)

影响范围

aiohttp < 3.13.4

防御指南

临时缓解措施

若无法立即升级，建议在代码中拦截所有传入Response构造函数的reason参数，移除其中的回车换行符（\r, \n），防止头部注入。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表