Scrapy因Brotli解压实现缺陷存在拒绝服务攻击漏洞 (CVE-2025-6176)
漏洞细节
受影响的包:
- pip: Scrapy
- pip: brotli
受影响版本:
- Scrapy: <= 2.13.3
- brotli: <= 1.1.0
已修复版本:
- Scrapy: 2.13.4
- brotli: 1.2.0
描述
Scrapy 2.13.3及更早版本因Brotli解压实现中的一个缺陷而存在拒绝服务(DoS)攻击漏洞。其针对解压炸弹的防护机制无法有效应对Brotli格式,使得远程服务器能够利用低于80GB可用内存的客户端使其崩溃。这是由于Brotli对零填充数据能够实现极高的压缩比,导致在解压过程中消耗过量的内存。修复此漏洞需要应用brotli v1.2.0中添加的安全增强措施。
严重性
高危 CVSS整体评分: 7.5 / 10
CVSS v3 基础指标:
- 攻击向量(Attack vector): 网络(Network)
- 攻击复杂度(Attack complexity): 低(Low)
- 所需权限(Privileges required): 无(None)
- 用户交互(User interaction): 无(None)
- 范围(Scope): 未改变(Unchanged)
- 机密性影响(Confidentiality): 无(None)
- 完整性影响(Integrity): 无(None)
- 可用性影响(Availability): 高(High)
弱点 CWE-400: 不受控制的资源消耗 产品未能正确控制有限资源的分配和维护,从而使攻击者能够影响所消耗的资源量,最终导致可用资源耗尽。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-6176
- https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0
- google/brotli#1234
- google/brotli@67d78bc
- https://github.com/google/brotli/releases/tag/v1.2.0
- google/brotli#1375
- scrapy/scrapy#7134
- google/brotli#1327
- scrapy/scrapy@14737e9
元数据
- CVE ID: CVE-2025-6176
- GHSA ID: GHSA-2qfp-q593-8484
- 来源: google/brotli
- 国家漏洞数据库(NVD)发布时间: 2025年10月31日
- GitHub Advisory Database 发布时间: 2025年10月31日
- 审阅时间: 2025年10月31日
- 最后更新时间: 2025年11月17日