首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Tornado日志解析器拒絕服務漏洞 (CVE-2025-47287)

發布時間 2025-05-16

一、漏洞概述


漏洞名稱

Tornado日志解析器拒絕服務漏洞

CVE   ID

CVE-2025-47287

漏洞類型

拒絕服務

發現時間

2025-05-16

漏洞評分

7.5

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

不需要

PoC/EXP

未公開

在野利用

未發現


Tornado是一個高性能的Web框架和異步網絡庫,專為處理大規模并發連接設計。它支持非阻塞I/O,能夠處理成千上萬的連接,適用于實時Web應用程序。Tornado提供了一個簡單易用的Web服務器,并支持WebSockets、長輪詢等協議,廣泛用于構建高效的實時通信系統。它適用于需要高吞吐量和低延遲的場景,如聊天應用、推送通知等。

2025年5月16日,啟明星辰集團VSRC監測到Tornado官方發布的安全公告,指出Tornado的multipart/form-data解析器存在日志拒絕服務漏洞。該解析器在默認啟用的情況下,當遇到特定錯誤時,會記錄警告信息并繼續解析后續數據。這種處理方式使攻擊者能夠發送惡意請求,生成大量警告日志,從而消耗系統資源并導致拒絕服務(DoS)攻擊。由于Tornado的日志子系統是同步的,漏洞的影響進一步加劇,導致日志處理延遲,進而影響系統性能。漏洞級別高危,漏洞評分7.5分。


二、影響范圍


Tornado <= 6.4.2


三、安全措施


3.1 升級版本


官方已發布安全更新,建議受影響用戶盡快升級到Tornado 6.5.0版本。

下載鏈接:https://github.com/tornadoweb/tornado/tags/

3.2 臨時措施


暫無。

3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。

3.4 參考鏈接


https://github.com/tornadoweb/tornado/tags
https://github.com/tornadoweb/tornado/security/advisories/GHSA-7cx3-6m66-7c5m
https://nvd.nist.gov/vuln/detail/CVE-2025-47287

上一篇 下一篇