漏洞详情
包管理器: pip
受影响组件:
- Scrapy (pip) - 受影响版本: <= 2.13.3
- Brotli (pip) - 受影响版本: <= 1.1.0
已修复版本:
- Brotli: 1.2.0
- Scrapy: 暂无修复版本
漏洞描述
Brotli 1.1.0及以下版本存在拒绝服务(DoS)漏洞,问题源于解压过程。该漏洞已在Brotli 1.2.0版本中得到修复。
此漏洞同时影响使用Brotli解压功能的Scrapy用户,Scrapy 2.13.2及以下版本的用户面临拒绝服务攻击风险。针对解压炸弹的保护机制无法有效缓解brotli变体攻击,远程服务器可通过特制数据使客户端崩溃,所需可用内存少于80GB。
问题的根源在于brotli对零填充数据能够实现极高的压缩比,导致在解压过程中消耗过多内存。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-6176
- https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0
- google/brotli#1327 (评论)
- google/brotli#1234
- google/brotli@67d78bc
- https://github.com/google/brotli/releases/tag/v1.2.0
- google/brotli#1327 (评论)
- google/brotli#1375
- github/advisory-database#6380
- scrapy/scrapy#7134
安全评分
严重程度: 高危
CVSS总体评分: 7.5/10
CVSS v3基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
EPSS评分: 0.057% (第18百分位)
弱点分类
弱点: CWE-400 - 不受控制的资源消耗
产品未能正确控制有限资源的分配和维护,使得攻击者能够影响资源消耗量,最终导致可用资源耗尽。