发布日期：2024-11-22
更新日期：2025-01-20

受影响系统：

Tornado Tornado < 6.4.2

描述：

---

CVE(CAN) ID: CVE-2024-52804

Tornado是中国龙卷风科技（Tornado）社区的一个Python Web框架和异步网络库，通过使用非阻塞网络I/O，可以扩展到成千上万的开放连接，使其非常适合长时间轮询，WebSocket和其他需要与每个用户建立长期连接的应用程序。
Tornado 6.4.2之前版本存在不受控制的资源消耗漏洞，该漏洞源于用于解析HTTP Cookie的算法有时具有二次运算方式，攻击者可利用该漏洞通过使程序解析恶意cookie标头过度消耗CPU。

<**>

建议：

---

厂商补丁：

Tornado
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/advisories/GHSA-7pwv-g7hj-39pr

浏览次数：166
严重程度：0（网友投票）