Scrapy与Brotli解压缩漏洞导致拒绝服务攻击

本文披露了Scrapy框架与Brotli压缩库存在的安全漏洞CVE-2025-6176，攻击者可通过特制压缩数据引发内存耗尽，导致拒绝服务攻击。漏洞影响Scrapy 2.13.3及以下和Brotli 1.1.0及以下版本。

CVE-2025-6176：Scrapy与Brotli解压缩漏洞导致拒绝服务攻击

漏洞详情

受影响包

pip Scrapy (pip)：受影响版本 <= 2.13.3，已修复版本无
pip brotli (pip)：受影响版本 <= 1.1.0，已修复版本 1.2.0

漏洞描述

Brotli 1.1.0及以下版本存在因解压缩导致的拒绝服务（DoS）攻击漏洞。该漏洞已在Brotli 1.2.0版本中得到修复。

此漏洞同时影响使用Scrapy框架并实现Brotli解压缩的用户，Scrapy 2.13.2及以下版本均受影响。针对解压缩炸弹的防护机制无法有效缓解brotli变体攻击，远程服务器可通过特制数据使客户端崩溃，仅需不到80GB可用内存。

漏洞成因在于brotli对零填充数据能够实现极高的压缩比，导致在解压缩过程中消耗过多内存。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-6176
https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0
google/brotli#1327 (评论)
google/brotli#1234
google/brotli@67d78bc
https://github.com/google/brotli/releases/tag/v1.2.0
google/brotli#1327 (评论)
google/brotli#1375
github/advisory-database#6380
scrapy/scrapy#7134

严重程度

高危 - CVSS总体评分：7.5/10

CVSS v3基础指标

攻击向量：网络
攻击复杂度：低
所需权限：无
用户交互：无
范围：未改变
机密性：无影响
完整性：无影响
可用性：高影响

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱点分类

CWE-400 - 不受控制的资源消耗

产品未能正确控制有限资源的分配和维护，使得攻击者能够影响资源消耗量，最终导致可用资源耗尽。

comments powered by Disqus