aiohttp 3.9.1 目录遍历漏洞 PoC 分析与利用细节
aiohttp 3.9.1 存在目录遍历漏洞(CVE-2024-23334),攻击者可通过构造 ../ 路径读取任意文件。本文提供 PoC 分析、攻击链与缓解建议,帮助安全团队快速识别和修复风险。
🔓 High 漏洞利用
攻击者利用 aiohttp 3.9.1 在静态文件服务中配置 follow_symlinks=True 时的目录遍历漏洞(CVE-2024-23334),通过构造包含多个 ../ 的路径可读取服务器上的任意文件。该 PoC 由 Beatriz Fresno Naumova 发布,仅限本地测试环境使用。
来源:Exploit-DB | 2026-02-04 | 原文链接
🔍 关键发现
- 漏洞影响 aiohttp <= 3.9.1 版本,当静态文件服务启用 follow_symlinks=True 时存在目录遍历
- PoC 通过构造 /static/../../../../../../tmp/... 路径成功读取 /tmp/poc-aiohttp-test.txt 文件
- PoC 脚本内置 localhost 限制,防止被滥用,仅用于本地验证
⚔️ 攻击链分析
1. 攻击者识别目标运行 aiohttp 3.9.1 且静态文件服务配置了 follow_symlinks=True;2. 构造 GET 请求,路径包含多个 ../ 序列指向目标文件(如 /tmp/poc-aiohttp-test.txt);3. 服务器因未正确过滤路径而返回文件内容,攻击者获取敏感信息。
🚩 失陷指标 (IOC)
GET /static/../../../../../../tmp/poc-aiohttp-test.txt HTTP/1.1User-Agent: poc-aiohttp-check/1.0
🛡️ 缓解建议
- ✅ 升级 aiohttp 至 3.9.2 或更高版本(该版本已修复 CVE-2024-23334)
- ✅ 避免在生产环境中使用 follow_symlinks=True,或严格限制静态文件根目录的访问权限
涉及漏洞:["CVE-2024-23334""cve-2024-23334"]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 该漏洞是否需要认证?
不需要,攻击者只需向暴露的静态文件端点发送特制 GET 请求即可触发目录遍历。
❓ 如何确认服务器是否受影响?
检查 aiohttp 版本是否 <= 3.9.1,并确认静态文件路由是否配置了 follow_symlinks=True。
❓ 漏洞修复版本是什么?
aiohttp 3.9.2 及更高版本已修复该漏洞,建议立即升级。