Scrapy on 办公AI智能小助手

Scrapy因Brotli解压实现缺陷存在拒绝服务攻击漏洞 (CVE-2025-6176)

Mon, 05 Jan 2026 08:31:21 +0800

Scrapy因Brotli解压实现缺陷存在拒绝服务攻击漏洞 (CVE-2025-6176)

漏洞细节

受影响的包：

pip: Scrapy
pip: brotli

受影响版本：

Scrapy: <= 2.13.3
brotli: <= 1.1.0

已修复版本：

Scrapy: 2.13.4
brotli: 1.2.0

描述

Scrapy 2.13.3及更早版本因Brotli解压实现中的一个缺陷而存在拒绝服务(DoS)攻击漏洞。其针对解压炸弹的防护机制无法有效应对Brotli格式，使得远程服务器能够利用低于80GB可用内存的客户端使其崩溃。这是由于Brotli对零填充数据能够实现极高的压缩比，导致在解压过程中消耗过量的内存。修复此漏洞需要应用brotli v1.2.0中添加的安全增强措施。

Scrapy 因Brotli解压缺陷面临DoS攻击风险

Wed, 10 Dec 2025 08:11:48 +0800

CVE-2025-6176: Scrapy Brotli 解压实现缺陷导致拒绝服务漏洞

Scrapy 版本至 2.13.3 存在一个拒绝服务攻击漏洞，源于其 Brotli 解压实现中的一个缺陷。针对解压炸弹的防护机制未能有效缓解 Brotli 变体攻击，使得远程服务器能够通过消耗客户端内存（通常少于 80GB）使其崩溃。

Scrapy与Brotli压缩库存在拒绝服务漏洞，攻击者可利用解压过程耗尽内存

Tue, 11 Nov 2025 23:51:09 +0800

漏洞详情

包管理器: pip

受影响组件:

Scrapy (pip) - 受影响版本: <= 2.13.3
Brotli (pip) - 受影响版本: <= 1.1.0

已修复版本:

Brotli: 1.2.0
Scrapy: 暂无修复版本

漏洞描述

Brotli 1.1.0及以下版本存在拒绝服务(DoS)漏洞，问题源于解压过程。该漏洞已在Brotli 1.2.0版本中得到修复。