CVE-2025-64509：Bugsink Brotli输入未授权远程拒绝服务漏洞

漏洞详情

包管理器: pip
受影响版本: < 2.0.6
已修复版本: 2.0.6

影响描述

在受影响版本中，特制的Brotli压缩信封可导致Bugsink在解压缩过程中消耗过多CPU时间，从而引发拒绝服务攻击。当DSN已知时（这在许多常见设置中如JavaScript、移动应用程序中很常见），攻击者即可利用此漏洞。

修复措施

该漏洞已在Bugsink 2.0.6版本中修复。

相关参考

此安全公告中的漏洞与Bugsink中另一个brotli相关问题相似但不同：

• GHSA-fc2v-vcwj-269v

参考链接

• GHSA-rrx3-2x4g-mq2h
• https://nvd.nist.gov/vuln/detail/CVE-2025-64509
• bugsink/bugsink@1201f75

严重程度

高危 - CVSS评分：7.5/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 无影响
• 完整性: 无影响
• 可用性: 高影响

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱点分类

CWE-770: 无限制或节流的资源分配

产品在代表参与者分配可重用资源或资源组时，未对可分配资源的大小或数量施加任何限制，违反了该参与者的预期安全策略。

标识符

• CVE ID: CVE-2025-64509
• GHSA ID: GHSA-rrx3-2x4g-mq2h

源代码

bugsink/bugsink

致谢

Cycloctane - 报告者