发布日期：2025-12-12
更新日期：2026-03-04

受影响系统：

Tornado Tornado <= 6.5.2

描述：

---

CVE(CAN) ID: CVE-2025-67725

Tornado是中国龙卷风科技（Tornado）社区的一个Python Web框架和异步网络库，该库通过使用非阻塞网络I/O，可以扩展到成千上万的开放连接，使其非常适合长时间轮询，WebSocket和其他需要与每个用户建立长期连接的应用程序。
Tornado 6.5.2及之前版本存在拒绝服务漏洞，该漏洞源于HTTPHeaders.add函数方法错误，当相同的标头名称重复出现时，该函数会使用字符串拼接来累积值，攻击者可利用该漏洞通过单个恶意构造的HTTP请求长时间阻塞服务器的事件循环，导致拒绝服务。

<**>

建议：

---

厂商补丁：

Tornado
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/tornadoweb/tornado/tags

浏览次数：137
严重程度：0（网友投票）