CVE-2026-34525AIOHTTP是基于Python asyncio的异步HTTP客户端/服务端框架。在3.13.4版本之前,该框架在处理HTTP请求时未正确限制Host头的数量,允许请求中包含多个Host头部。这种不符合RFC规范的解析方式可能被攻击者利用,通过构造包含恶意Host头的请求来绕过安全检查(如WAF规则)或导致缓存投毒,从而影响系统的完整性。
该漏洞的根源在于aiohttp框架在处理HTTP请求头时,未严格遵守RFC 7230规范关于Host头唯一性的要求。在受影响的版本中,应用程序会接受并处理包含多个Host头部的HTTP请求。在典型的网络架构中,前端代理或WAF通常基于Host头进行路由或安全校验。攻击者利用此漏洞,可以构造包含两个Host头的恶意请求:第一个Host头用于绕过前端的安全白名单检查,而第二个Host头则包含恶意意图。由于aiohttp可能优先处理后者,攻击者可利用这种解析差异实施缓存投毒攻击,将恶意内容注入缓存服务器供其他用户访问,或利用逻辑缺陷绕过访问控制。虽然CVSS评分未显示机密性影响,但这种对完整性的破坏可能严重损害业务逻辑和用户信任。