关于Tornado日志解析器拒绝服务漏洞(CVE-2025-47287)的预警提示

发布者:jsut发布时间:2025-05-19浏览次数:10

一、漏洞详情

Tornado是一个高性能的Web框架和异步网络库,专为处理大规模并发连接设计。

近日,监测到Tornado官方发布的安全公告,指出Tornadomultipart/form-data解析器存在日志拒绝服务漏洞。该解析器在默认启用的情况下,当遇到特定错误时,会记录警告信息并继续解析后续数据。这种处理方式使攻击者能够发送恶意请求,生成大量警告日志,从而消耗系统资源并导致拒绝服务(DoS)攻击。由于Tornado的日志子系统是同步的,漏洞的影响进一步加剧,导致日志处理延迟,进而影响系统性能。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Tornado <= 6.4.2

三、修复建议

官方已发布安全更新,建议受影响用户尽快升级到Tornado 6.5.0版本。