CVE-2025-67725: CWE-400: Tornadoweb Tornado中的不受控资源消耗

严重性: 高 类型: 漏洞 CVE: CVE-2025-67725

Tornado是一个Python Web框架和异步网络库。在6.5.2及以下版本中，单个恶意构造的HTTP请求可导致服务器事件循环长时间阻塞，此问题由HTTPHeaders.add方法引起。当同一标头名称被重复添加时，该函数使用字符串拼接来累积值，从而导致拒绝服务（DoS）。由于Python字符串的不可变性，每次拼接都会复制整个字符串，导致O(n²)的时间复杂度。严重程度可能从高（如果max_header_size从其默认值增加）到低（如果其保持64KB的默认值）不等。此问题已在6.5.3版本中修复。

来源: CVE数据库 V5 发布日期: 2025年12月12日星期五

技术详情

• 数据版本: 5.2
• 分配者短名称: GitHub_M
• 保留日期: 2025-12-10T19:25:20.819Z
• Cvss版本: 3.1
• 状态: 已发布
• 威胁ID: 693badd05785fd87b5f80b8a
• 添加到数据库时间: 2025年12月12日，上午5:53:20
• 最后更新时间: 2025年12月12日，上午5:53:31
• 浏览量: 1