AIOHTTPにおける複数の脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-011391 AIOHTTPにおける複数の脆弱性 AIOHTTPは、asyncioおよびPython用の非同期HTTPクライアント/サーバーフレームワークです。バージョン3.13.4以前のWindows版では、静的リソースハンドラーがNTLMv2のリモートパスに関する情報を露出する可能性がありました。この問題はバージョン3.13.4で修正されました。 cpe:/a:aiohttp:aiohttp https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-011391.html Common Vulnerabilities and Exposures (CVE) CVE-2026-34515 https://www.cve.org/CVERecord?id=CVE-2026-34515 National Vulnerability Database (NVD) CVE-2026-34515 https://nvd.nist.gov/vuln/detail/CVE-2026-34515 GitHub UNC SSRF/NTLMv2 Credential Theft/Local File Read in static resource handler on Windows Advisory aio-libs/aiohttp GitHub https://github.com/aio-libs/aiohttp/security/advisories/GHSA-p998-jp59-783m JVNDB CWE-918 サーバサイドのリクエストフォージェリ https://cwe.mitre.org/data/definitions/918.html JVNDB CWE-36 絶対パストラバーサル https://cwe.mitre.org/data/definitions/36.html 関連文書 Release 3.13.4 aio-libs/aiohttp GitHub https://github.com/aio-libs/aiohttp/releases/tag/v3.13.4 関連文書 [PR #12125/f049588a backport][3.13] Block absolute paths in static fi… aio-libs/aiohttp@0ae2aa0 GitHub https://github.com/aio-libs/aiohttp/commit/0ae2aa076c84573df83fc1fdc39eec0f5862fe3d 2026-04-17T11:03:33+09:00 2026-04-17T11:03:33+09:00