一、 漏洞 CVE-2025-53643 基础信息
漏洞信息
                                        # AIOHTTP 由于错误解析分块 trailer 部分而易受 HTTP 请求/响应走私攻击

## 概述
AIOHTTP是一个用于asyncio和Python的异步HTTP客户端/服务器框架。在3.12.14版本之前,其Python解析器存在一个由于未解析HTTP请求的尾部部分而导致的请求走私漏洞。如果安装了纯Python版本的aiohttp(即没有通常的C扩展)或启用了AIOHTTP_NO_EXTENSIONS,攻击者可以通过执行请求走私攻击来绕过某些防火墙或代理保护。

## 影响版本
- 3.12.14版本之前的所有版本

## 细节
在没有C扩展的情况下,攻击者可以通过未解析的HTTP请求尾部部分利用该漏洞。这允许攻击者执行请求走私攻击,从而绕过一些安全防护措施。

## 影响
攻击者可以通过请求走私攻击绕过防火墙或代理的安全保护。版本3.12.14修复了这一问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
AIOHTTP is vulnerable to HTTP Request/Response Smuggling through incorrect parsing of chunked trailer sections
来源:美国国家漏洞数据库 NVD
漏洞描述信息
AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.12.14, the Python parser is vulnerable to a request smuggling vulnerability due to not parsing trailer sections of an HTTP request. If a pure Python version of aiohttp is installed (i.e. without the usual C extensions) or AIOHTTP_NO_EXTENSIONS is enabled, then an attacker may be able to execute a request smuggling attack to bypass certain firewalls or proxy protections. Version 3.12.14 contains a patch for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-53643 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53643 的情报信息