Brotli拒绝服务漏洞分析

漏洞概述

Brotli压缩算法在解压缩过程中存在拒绝服务（DoS）漏洞，该漏洞被分配CVE编号CVE-2025-6176。受影响版本为1.1.0及以下，已在1.2.0版本中修复。

技术细节

漏洞机理

该漏洞源于Brotli对零填充数据能够实现极高的压缩比。攻击者可以构造特制的压缩数据，在解压缩过程中导致内存消耗急剧增加。具体表现为：

• 远程服务器可通过发送特制Brotli压缩数据使客户端崩溃
• 攻击仅需客户端内存小于80GB即可实现
• Scrapy框架直至2.13.2版本均受影响

影响范围

受影响的包：

• pip包：brotli
• 受影响版本：<= 1.1.0
• 已修复版本：1.2.0

连带影响：

• 使用Brotli解压缩功能的Scrapy版本（<= 2.13.2）
• 针对解压缩炸弹的防护机制无法有效缓解Brotli变种攻击

安全指标

CVSS评分

• 总体评分： 7.5（高危）
• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 无
• 用户交互： 无
• 影响范围： 未改变
• 机密性影响： 无
• 完整性影响： 无
• 可用性影响： 高

弱点分类

• CWE标识： CWE-400（不受控制的资源消耗）
• 描述： 产品未能正确控制有限资源的分配和维护，使攻击者能够影响资源消耗量，最终导致可用资源耗尽。

修复方案

建议用户立即升级至Brotli 1.2.0版本，同时更新依赖Brotli的应用程序（如Scrapy）至最新安全版本。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-6176
• https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0
• https://github.com/google/brotli/releases/tag/v1.2.0