CVE-2025-69229 (CNNVD-202601-957)
中文标题:
aiohttp 安全漏洞
英文标题:
AIOHTTP vulnerable to DoS through chunked messages
漏洞描述
中文描述:
aiohttp是aio-libs开源的一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。 aiohttp 3.13.2及之前版本存在安全漏洞,该漏洞源于处理大量分块消息时可能导致CPU过度阻塞,可能导致拒绝服务攻击。
英文描述:
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. In versions 3.13.2 and below, handling of chunked messages can result in excessive blocking CPU usage when receiving a large number of chunks. If an application makes use of the request.read() method in an endpoint, it may be possible for an attacker to cause the server to spend a moderate amount of blocking CPU time (e.g. 1 second) while processing the request. This could potentially lead to DoS as the server would be unable to handle other requests during that time. This issue is fixed in version 3.13.3.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| aio-libs | aiohttp | < 3.13.3 | - | - |
cpe:2.3:a:aio-libs:aiohttp:<_3.13.3:*:*:*:*:*:*:*
|
| aiohttp | aiohttp | * | - | - |
cpe:2.3:a:aiohttp:aiohttp:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
CVSS评分详情
4.0 (cna)
MEDIUMCVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-69229 |
2026-01-07 02:47:00 | 2026-01-12 02:12:33 |
| NVD | nvd_CVE-2025-69229 |
2026-01-09 03:00:07 | 2026-01-12 02:28:15 |
| CNNVD | cnnvd_CNNVD-202601-957 |
2026-01-11 06:15:06 | 2026-01-12 02:38:16 |
版本与语言
安全公告
变更历史
查看详细变更
- affected_products_count: 1 -> 2
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202601-957
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']