https://blog.qife122.com/tags/tornado/ Recent content in Tornado on 办公AI智能小助手 Hugo zh-cn qife Fri, 12 Dec 2025 15:52:56 +0800 https://blog.qife122.com/p/tornado-web%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90cve-2025-67725%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E6%BC%8F%E6%B4%9E%E5%A8%81%E8%83%81/ Fri, 12 Dec 2025 15:52:56 +0800 https://blog.qife122.com/p/tornado-web%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90cve-2025-67725%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E6%BC%8F%E6%B4%9E%E5%A8%81%E8%83%81/ <h1 id="cve-2025-67725-cwe-400-tornadoweb-tornado中的不受控资源消耗">CVE-2025-67725: CWE-400: Tornadoweb Tornado中的不受控资源消耗</h1> <p><strong>严重性:</strong> 高 <strong>类型:</strong> 漏洞 <strong>CVE:</strong> CVE-2025-67725</p> <p>Tornado是一个Python Web框架和异步网络库。在6.5.2及以下版本中，单个恶意构造的HTTP请求可导致服务器事件循环长时间阻塞，此问题由<code>HTTPHeaders.add</code>方法引起。当同一标头名称被重复添加时，该函数使用字符串拼接来累积值，从而导致拒绝服务（DoS）。由于Python字符串的不可变性，每次拼接都会复制整个字符串，导致O(n²)的时间复杂度。严重程度可能从高（如果<code>max_header_size</code>从其默认值增加）到低（如果其保持64KB的默认值）不等。此问题已在6.5.3版本中修复。</p>