リモートホストにインストールされている aioHTTP のバージョンは、3.13.4 より前です。このためこれは、リクエストスマグリングの脆弱性の影響を受けます:

  - AIOHTTP は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。バージョン 3.13.4より前のバージョンでは、ヘッダー/トレイラーの処理での制限が不十分なため、メモリ使用量が上限に設定されていませんでした。この問題には、バージョン 3.13.4 でパッチが適用されています。(CVE-2026-22815)

  - AIOHTTP は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。バージョン 3.13.4より前では、過剰な数のマルチパートヘッダーを持つ応答が、意図よりも多くのメモリを使用できることがあり、これにより DoS 脆弱性が引き起こされる可能性があります。この問題には、バージョン 3.13.4 でパッチが適用されています。(CVE-2026-34516)

  - AIOHTTP は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。バージョン 3.13.4より前は、複数の Host ヘッダーが aiohttp で許可されていました。この問題には、バージョン 3.13.4 でパッチが適用されています。(CVE-2026-34525)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

aioHTTP < 3.13.4 複数の脆弱性CVE-2026-22815]

high Nessus プラグイン ID 304811

バージョン 1.2

バージョン 1.1

バージョン 1.2 Apr 6, 2026, 7:45 AM CVSS metrics ("Cvssv4 score" set to 8.7) CVSS metrics ("Cvssv4 threat score" set to 6.6) CVSS metrics ("Cvssv4 threat vector" set to "CVSS:4.0/E:U") CVSS metrics ("Cvssv4 vector" set to "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") CVSSv4 severity (based on CVE-2026-34516, severity increased from "Medium" to "High") Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202604060745
バージョン 1.1 Apr 4, 2026, 6:55 AM New Plugin Feed: 202604040655