发布日期：2025-12-12
更新日期：2026-03-04

受影响系统：

Tornado Tornado <= 6.5.2

描述：

---

CVE(CAN) ID: CVE-2025-67724

Tornado是中国龙卷风科技（Tornado）社区的一个Python Web框架和异步网络库，该库通过使用非阻塞网络I/O，可以扩展到成千上万的开放连接，使其非常适合长时间轮询，WebSocket和其他需要与每个用户建立长期连接的应用程序。
ornado 6.5.2及之前版本存在跨站脚本漏洞，该漏洞源于reason短语在用于HTTP标头或默认错误页面的HTML时未被转义，攻击者可利用该漏洞通过RequestHandler.set_status和tornado.web.HTTPError向reason参数传递不受信任的恶意数据，导致信息泄漏。

<**>

建议：

---

厂商补丁：

Tornado
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/tornadoweb/tornado/tags

浏览次数：44
严重程度：0（网友投票）