製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

AIOHTTPにおける信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	AIOHTTPにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要	AIOHTTPはasyncioとPython向けの非同期HTTPクライアントおよびサーバーフレームワークです。バージョン3.14.0以前では、``CookieJar.load()``に信頼できない入力を使用すると、任意のコードを実行される可能性がありました。ほとんどのアプリケーションはこの関数をユーザー自身のデータで使用しているため、多くのアプリケーションに影響を及ぼす可能性は低いです。この問題はバージョン3.14.0で修正されました。もし攻撃者が制御するファイルの読み込みを許可するアプリケーションがある場合は、古いリリースを使用している際には読み込む前にファイルをサニタイズすることが対処法となります。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月2日0:00
登録日	2026年6月8日12:31
最終更新日	2026年6月8日12:31

CVSS3.0 : 重要
スコア	7.3
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

AIOHTTP

AIOHTTP 3.14.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34993	https://www.cve.org/CVERecord?id=CVE-2026-34993
National Vulnerability Database (NVD)
2	CVE-2026-34993	https://nvd.nist.gov/vuln/detail/CVE-2026-34993

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
GitHub
1	Deserialization of Untrusted Data in aiohttp Advisory aio-libs/aiohttp GitHub	https://github.com/aio-libs/aiohttp/security/advisories/GHSA-jg22-mg44-37j8

その他

No	名前	URL
関連文書
1	[PR #12091/8a631e74 backport][3.14] Restrict pickle deserialization i… aio-libs/aiohttp@dcf40f3 GitHub	https://github.com/aio-libs/aiohttp/commit/dcf40f30637e8752c76781cf6703b5a236749a00

変更履歴

No	変更内容	変更日
1	[2026年06月08日] 掲載	2026年6月8日12:31

NVD脆弱性情報

CVE-2026-34993

概要	AIOHTTP is an asynchronous HTTP client/server framework for asyncio and Python. Prior to version 3.14.0, using ``CookieJar.load()`` with untrusted input may allow arbitrary code execution. Most applications using this function will be doing so with the user's own data, so this is unlikely to affect many applications. Version 3.14.0 patches the issue. If an application does allow attacker controlled files to be loaded, a workaround on older releases would be to sanitize the files before loading.
公表日	2026年6月3日5:16
登録日	2026年6月4日4:15
最終更新日	2026年6月5日22:44

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:aiohttp:aiohttp::::::::					3.14.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/aio-libs/aiohttp/commit/dcf40f30637e8752c76781cf6703b5a236749a00	security-advisories@github.com
2	https://github.com/aio-libs/aiohttp/security/advisories/GHSA-jg22-mg44-37j8	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html