Tornado框架跨站脚本漏洞详解:CVE-2025-67724技术分析与修复

本文详细分析了Tornado Python网络框架中存在的跨站脚本漏洞。该漏洞允许攻击者通过未转义的原因短语参数注入恶意代码,影响版本6.5.2及以下,已在6.5.3版本中修复。

CVE-2025-67724: CWE-79: Tornado Web框架输入处理不当导致的跨站脚本漏洞

严重性:中危 类型:漏洞

CVE-2025-67724

Tornado是一个Python Web框架和异步网络库。在6.5.2及以下版本中,提供的原因短语在HTTP头(可能被用于头注入)或默认错误页面的HTML(可能被用于XSS攻击)中未经过转义直接使用,攻击者可以通过向reason参数传递不可信或恶意数据来利用此漏洞。

该参数由RequestHandler.set_statustornado.web.HTTPError使用,设计初衷是允许应用程序向HTTP状态行传递自定义的“原因”短语(例如HTTP/1.1 404 Not Found中的“Not Found”),主要用于非标准状态码。此问题已在版本6.5.3中修复。

来源:CVE数据库 V5 发布日期:2025年12月12日,星期五

技术详情

数据版本:5.2 分配者简称:GitHub_M 日期预留:2025-12-10T19:25:20.819Z Cvss版本:3.1 状态:已发布

威胁ID:693badd05785fd87b5f80b8f 添加到数据库时间:2025年12月12日,上午5:53:20 最后更新时间:2025年12月12日,上午5:53:31 浏览次数:1

相关威胁

  • CVE-2025-67725: CWE-400: Tornadoweb tornado中的不受控资源消耗(高危漏洞,2025年12月12日,星期五)
  • CVE-2025-67508: CWE-77: Gardener gardenctl-v2中命令使用的特殊元素处理不当(高危漏洞,2025年12月12日,星期五)
  • 滥用DLLs入口点(中危漏洞,2025年12月12日,星期五)
  • CVE-2025-14467: CWE-79 WP Job Portal中的输入处理不当导致的跨站脚本(中危漏洞,2025年12月12日,星期五)
  • CVE-2025-14393: CWE-79 awanhrp Wpik WordPress Basic Ajax Form中的输入处理不当导致的跨站脚本(中危漏洞,2025年12月12日,星期五)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次