CVE-2025-6176: Scrapy Brotli 解压实现缺陷导致拒绝服务漏洞
Scrapy 版本至 2.13.3 存在一个拒绝服务攻击漏洞,源于其 Brotli 解压实现中的一个缺陷。针对解压炸弹的防护机制未能有效缓解 Brotli 变体攻击,使得远程服务器能够通过消耗客户端内存(通常少于 80GB)使其崩溃。
这一漏洞之所以能够被利用,是因为 Brotli 算法对于填充零的数据能够实现极高的压缩比,从而导致在解压过程中消耗过量的内存。缓解此漏洞需要应用 Brotli v1.2.0 中添加的安全增强功能。
漏洞详情
- 受影响包:
pip包管理器下的scrapy和brotli - 受影响版本:
- Scrapy: <= 2.13.3
- Brotli: <= 1.1.0
- 已修复版本:
- Scrapy: 2.13.4
- Brotli: 1.2.0
严重性评级
此漏洞被评定为 高严重性,CVSS v3 基础评分为 7.5(满分10分)。
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 影响: 可用性(高)