漏洞详情
包管理器: pip
受影响包: bugsink (pip)
受影响版本: < 2.0.6
修复版本: 2.0.6
影响描述
在受影响版本中,特制的Brotli压缩信封可导致Bugsink在解压缩过程中消耗过多CPU时间,从而引发拒绝服务攻击。如果攻击者知道DSN(在许多常见设置中如JavaScript、移动应用程序中都是已知的),就可以利用此漏洞。
修复措施
该漏洞已在Bugsink 2.0.6版本中修复。
相关参考
此安全公告中的漏洞与Bugsink中另一个brotli相关问题相似但不同:
- GHSA-fc2v-vcwj-269v
参考链接
- GHSA-rrx3-2x4g-mq2h
- https://nvd.nist.gov/vuln/detail/CVE-2025-64509
- bugsink/bugsink@1201f75
时间线
- 2025年11月8日: vanschelven发布至bugsink/bugsink
- 2025年11月10日: 国家漏洞数据库发布
- 2025年11月13日: GitHub咨询数据库发布并审核
- 2025年11月13日: 最后更新
严重程度
高危 - CVSS总体评分:7.5/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
弱点分类
CWE-770: 无限制或节流的资源分配 - 产品在为参与者分配可重用资源时未对资源大小或数量施加任何限制,违反了该参与者的预期安全策略。
标识符
- CVE ID: CVE-2025-64509
- GHSA ID: GHSA-rrx3-2x4g-mq2h
源代码
bugsink/bugsink
致谢
Cycloctane(报告者)