发布日期：2025-12-12
更新日期：2026-03-04

受影响系统：

Tornado Tornado <= 6.5.2

描述：

---

CVE(CAN) ID: CVE-2025-67726

Tornado是中国龙卷风科技（Tornado）社区的一个Python Web框架和异步网络库，该库通过使用非阻塞网络I/O，可以扩展到成千上万的开放连接，使其非常适合长时间轮询，WebSocket和其他需要与每个用户建立长期连接的应用程序。
ornado 6.5.2及之前版本存在拒绝服务漏洞，该漏洞源于在解析HTTP标头值的参数时使用了一种低效的算法，攻击者可利用该漏洞通过在Content-Disposition标头中发送包含大量恶意构造参数的请求导致服务器长时间无响应，最终导致拒绝服务。

<**>

建议：

---

厂商补丁：

Tornado
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/tornadoweb/tornado/tags

浏览次数：44
严重程度：0（网友投票）