Scrapy与Brotli解压缩漏洞导致拒绝服务攻击
漏洞详情
包管理器: pip
受影响包:
- Scrapy (pip) - 受影响版本: <= 2.13.3
- brotli (pip) - 受影响版本: <= 1.1.0
已修复版本:
- brotli: 1.2.0
- Scrapy: 暂无修复版本
漏洞描述
Brotli 1.1.0及以下版本存在因解压缩导致的拒绝服务(DoS)攻击漏洞。该漏洞已在Brotli 1.2.0版本中得到修复。
此漏洞同时影响使用Scrapy框架并实施Brotli解压缩的用户,Scrapy 2.13.2及以下版本均受影响。针对解压缩炸弹的保护机制无法有效缓解brotli变体攻击,远程服务器可通过特制数据使客户端崩溃,仅需不到80GB的可用内存。
漏洞产生的原因是brotli对零填充数据能够实现极高的压缩比,导致在解压缩过程中消耗过多内存。
参考链接
- nvd.nist.gov/vuln/detail…
- huntr.com/bounties/2c…
- google/brotli#1327 (评论)
- google/brotli#1234
- google/brotli@67d78bc
- github.com/google/brot…
- google/brotli#1327 (评论)
- google/brotli#1375
- github/advisory-database#6380
- scrapy/scrapy#7134
严重程度
高危 - CVSS评分: 7.5/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
弱点分类
CWE-400: 不受控制的资源消耗
产品未能正确控制有限资源的分配和维护,使得攻击者能够影响资源消耗量,最终导致可用资源耗尽。
标识符
- CVE ID: CVE-2025-6176
- GHSA ID: GHSA-2qfp-q593-8484
源代码
google/brotli
致谢
smithcoin - 分析师
