龙卷风Python Web框架中新披露的漏洞(CVE-2025-47287)通过过度日志记录将应用程序暴露给拒绝服务(DoS)攻击。该缺陷被分配为7.5的CVSS分数,将其归类为高严重性。

“当Tornado的多部分/表单数据解析器遇到某些错误时,它会记录一个警告,但继续尝试解析其余数据,”Tornado顾问说。

龙卷风是一个流行的异步Web框架和网络库,最初由FriendFeed(后来被Facebook收购)开发。它广泛用于涉及WebSockets,长轮询和实时更新的高并发Web应用程序。

该框架能够处理数以万计的并发连接,而非阻塞的I/O使其具有可扩展性微服务的吸引力,但当被滥用时,这种面向性能的架构成为一种负担。

漏洞在于Tornado的多部分/表单数据解析器,它通常用于处理文件上传和复杂的POST请求主体。当收到畸形的多部分请求时,解析器会记录每个解析错误的警告,但继续处理有效载荷的其余部分。

“这允许远程攻击者生成极高的日志量,构成DoS攻击,”该咨询警告说。

龙卷风的同步日志子系统进一步加剧了这个问题,该子系统处理主线程上的日志。因此,攻击者可以通过反复发送畸形表单数据来阻塞服务器的资源,从而导致:

由于冗长的日志而导致的磁盘空间饱和过度 I/O 的 CPU 周期饥饿无响应的应用程序和服务

6.5.0 之前的所有龙卷风版本都受到影响。默认情况下启用易受攻击的解析器,这意味着任何通过 Tornado 接受文件上传或复杂表单数据的应用程序都可能暴露。

作为临时缓解措施,管理员可以配置 Web 应用程序防火墙 (WAF) 或代理服务器,以使用 header Content-Type: multipart/form-data 阻止请求。