aiohttp Static Resource Handler NTLMv2 Credential Theft via SSRF (CVE-2026-34115)

根据用户提供的网页截图，我提取了以下关键信息： 1. 漏洞标题/概述： 标题是 "UNC SRF/NTLMv2 Credential Theft/Local File Read in static resource handler on Windows"。 描述（Summary）指出：在Windows上，静态资源处理器（static resource handler）可能会泄露关于NTLMv2远程路径的信息。 影响（Impact）指出：如果应用程序在Windows上运行，并且使用 aiohttp 的静态资源处理器（不推荐在生产环境中使用），攻击者可能利用它从NTLMv2路径中提取哈希值，进而提取用户的凭据。 2. 受影响范围： 包名（Package）： 受影响版本（Affected versions）： 严重程度（Severity）：Low（低） 相关CVE：CVE-2026-34115（注意：截图中的CVE编号看起来像是未来的或者占位符，或者是OCR识别错误，但我会照实记录截图内容，或者根据上下文推断。仔细看截图，CVE ID 是 ，这很奇怪，可能是未来的预测或者截图本身有特殊性，但我会如实记录截图上的文字。再仔细看，可能是 或者类似的，但截图上确实写的是 。等等，再仔细看，可能是 。让我们放大看。哦，截图上写的是 。这非常奇怪，可能是个笔误或者未来的漏洞。不过，看下面的 CWE 是 和 。 CWE 编号：CWE-36 (Race Condition), CWE-918 (Server-Side Request Forgery - SSRF)。 3. 修复方案： 修复版本（Patched versions）： Patch 链接： 4. 代码/POC： 截图中没有包含具体的 POC 代码或利用代码块。只有文字描述。 5. 其他信息： 发布者：Dreamscorer 发布时间：昨天 (yesterday) 报告者： 修复开发者： 现在，我将这些信息整理成简洁的中文Markdown格式。 漏洞概述：Windows 平台上的 静态资源处理器存在 UNC SRF（服务器端请求伪造）、NTLMv2 凭据窃取以及本地文件读取漏洞。攻击者可能利用该处理器从 NTLMv2 路径中提取哈希值，进而窃取用户凭据。 影响范围： 包名： 受影响版本： 严重程度：Low CWE：CWE-36, CWE-918 修复方案： 升级版本： 修复提交： 检查是否有代码块。截图中没有代码块。 最终输出将严格遵循用户的要求。 漏洞关键信息总结 漏洞概述 标题: UNC SRF/NTLMv2 Credential Theft/Local File Read in static resource handler on Windows 描述: 在 Windows 系统上， 的静态资源处理器（static resource handler）存在安全漏洞，可能会泄露关于 NTLMv2 远程路径的信息。 影响: 如果应用程序在 Windows 上运行并使用了 的静态资源处理器（官方不推荐在生产环境使用），攻击者可能利用该漏洞从 NTLMv2 路径中提取哈希值，进而窃取用户的凭据。 影响范围 受影响包: 受影响版本: 严重程度: Low (低) 相关 CWE: CWE-36 (Race Condition), CWE-918 (Server-Side Request Forgery) CVE ID: CVE-2026-34115 (注：截图显示的编号) 修复方案 修复版本: 修复提交 (Patch): 代码/POC 截图中未包含具体的 POC 代码或利用代码。

目標達成すべての支援者に感謝 — 100%達成しました！

aiohttp Static Resource Handler NTLMv2 Credential Theft via SSRF (CVE-2026-34115)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

aiohttp Static Resource Handler NTLMv2 Credential Theft via SSRF (CVE-2026-34115)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！