https://blog.qife122.com/tags/tornado%E6%A1%86%E6%9E%B6/ Recent content in Tornado框架 on 办公AI智能小助手 Hugo zh-cn qife Fri, 12 Dec 2025 19:51:58 +0800 https://blog.qife122.com/p/tornado%E6%A1%86%E6%9E%B6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3cve-2025-67724%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ Fri, 12 Dec 2025 19:51:58 +0800 https://blog.qife122.com/p/tornado%E6%A1%86%E6%9E%B6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3cve-2025-67724%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ <h1 id="cve-2025-67724-cwe-79-tornado-web框架输入处理不当导致的跨站脚本漏洞">CVE-2025-67724: CWE-79: Tornado Web框架输入处理不当导致的跨站脚本漏洞</h1> <p><strong>严重性</strong>：中危 <strong>类型</strong>：漏洞</p> <h2 id="cve-2025-67724">CVE-2025-67724</h2> <p>Tornado是一个Python Web框架和异步网络库。在6.5.2及以下版本中，提供的原因短语在HTTP头（可能被用于头注入）或默认错误页面的HTML（可能被用于XSS攻击）中未经过转义直接使用，攻击者可以通过向reason参数传递不可信或恶意数据来利用此漏洞。</p>