AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.14.0, cookies set with the `cookies` parameter on requests are sent after following a cross-origin redirect. If a developer uses the `cookies` parameter on a per-request basis then sensitive data might be leaked to an attacker if they manage to control a redirect. Version 3.14.0 patches the issue. If unable to upgrade, using a `Cookie` header in the `headers` parameter is not vulnerable.
AIOHTTP versions before 3.14.0 leak cookies across cross-origin redirects when using the cookies parameter, potentially exposing sensitive authentication data. Organizations using AIOHTTP for HTTP requests should upgrade immediately to patch this vulnerability.
تحتوي نسخ AIOHTTP السابقة للإصدار 3.14.0 على ثغرة في معالجة ملفات تعريف الارتباط حيث يتم إرسال ملفات تعريف الارتباط المعينة عبر معامل الطلب بعد اتباع عمليات إعادة التوجيه بين المجالات. يمكن للمهاجمين الذين يتحكمون في عمليات إعادة التوجيه استخراج بيانات المصادقة الحساسة والجلسات. الإصدار 3.14.0 يصحح هذه المشكلة بشكل كامل.
إصدارات AIOHTTP السابقة للإصدار 3.14.0 تسرب ملفات تعريف الارتباط عبر عمليات إعادة التوجيه بين المجالات، مما قد يعرض بيانات المصادقة الحساسة للخطر. يجب على المنظمات التي تستخدم AIOHTTP للطلبات الفورية الترقية فوراً لإصلاح هذا الثغرة.
Upgrade AIOHTTP to version 3.14.0 or later immediately. If immediate upgrade is not possible, replace the cookies parameter with a Cookie header in the headers parameter to prevent cross-origin cookie leakage. Review all applications using AIOHTTP for per-request cookie usage and audit logs for potential unauthorized access.
قم بترقية AIOHTTP إلى الإصدار 3.14.0 أو أحدث فوراً. إذا لم يكن الترقية الفورية ممكنة، استبدل معامل ملفات تعريف الارتباط برأس Cookie في معامل الرؤوس لمنع تسرب ملفات تعريف الارتباط بين المجالات. قم بمراجعة جميع التطبيقات التي تستخدم AIOHTTP لاستخدام ملفات تعريف الارتباط لكل طلب وتدقيق السجلات للوصول غير المصرح به المحتمل.