发布日期：2023-05-25
更新日期：2023-07-19

受影响系统：

Tornado Tornado Tornado <= 6.3.1

描述：

---

CVE(CAN) ID: CVE-2023-28370

Tornado是中国龙卷风科技（Tornado）社区的一个Python Web框架和异步网络库，该库通过使用非阻塞网络I/O，可以扩展到成千上万的开放连接，使其非常适合长时间轮询，WebSocket和其他需要与每个用户建立长期连接的应用程序。
Tornado 6.3.1及之前版本存在开放重定向漏洞，攻击者可利用该漏洞诱导使用受影响产品的网站用户访问特制的URL，进而将其重定向到任意网站。

<**>

建议：

---

厂商补丁：

Tornado
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
https://github.com/tornadoweb/tornado/releases/tag/v6.3.2

浏览次数：326
严重程度：0（网友投票）