Ò»¡¢·ì϶¸ÅÊö
·ìϼûû³Æ | TornadoÈÕÖ¾½âÎöÆ÷»Ø¾ø·þÎñ·ì϶ |
CVE ID | CVE-2025-47287 |
·ì϶ÀàÐÍ | »Ø¾ø·þÎñ | ·¢ÏÖ¹¦·ò | 2025-05-16 |
·ì϶ÆÀ·Ö | 7.5 | ·ì϶µÈ¼¶ | ¸ßΣ |
¹¥»÷ÏòÁ¿ | ÍøÂç | ËùÐèȨÏÞ | ÎÞ |
ÀûÓÃÄÑ¶È | µÍ | Óû§½»»¥ | ²»±ØÒª |
PoC/EXP | δ¹«¿ª | ÔÚÒ°ÀûÓà | δ·¢ÏÖ |
TornadoÊÇÒ»¸ö¸ß»úÄܵÄWeb¿ò¼ÜºÍÒì²½ÍøÂç¿â����£¬×¨Îª´¦Öôó¹æÄ£²¢·¢ÏνÓÉè¼Æ���¡£ËüÖ§³Ö·Ç×èÈûI/O����£¬¿ÉÄÜ´¦ÖóÉǧÉÏÍòµÄÏνÓ����£¬ºÏÓÃÓÚʵʱWebÀûÓ÷¨Ê½���¡£TornadoÌṩÁËÒ»¸öµ¥Ò»Ò×ÓõÄWeb·þÎñÆ÷����£¬²¢Ö§³ÖWebSockets¡¢³¤ÂÖѯµÈºÍ̸����£¬¿í·ºÓÃÓÚ¹¹½¨¸ßЧµÄʵʱͨѶϵͳ���¡£ËüºÏÓÃÓÚ±ØÒª¸ßÍÌÍÂÁ¿ºÍµÍÑÓ³¤µÄ³¡¾°����£¬Èç̸ÌìÀûÓá¢ÍÆËÍ֪ͨµÈ���¡£2025Äê5ÔÂ16ÈÕ����£¬GA»Æ½ð¼×¼¯ÍÅVSRC¼à²âµ½Tornado¹Ù·½°ä²¼µÄ°²È«²¼¸æ����£¬Ö¸³öTornadoµÄmultipart/form-data½âÎöÆ÷´æÔÚÈÕÖ¾»Ø¾ø·þÎñ·ì϶���¡£¸Ã½âÎöÆ÷ÔÚĬÈÏÆôÓõÄÇé¿öÏÂ����£¬µ±Óöµ½Ìض¨ÃýÎóʱ����£¬»á¼Í¼ÖÒ¸æÐÅÏ¢²¢³ÖÐø½âÎöºóÐøÊý¾Ý���¡£ÕâÖÖ´¦Ö÷½Ê½Ê¹¹¥»÷Õß¿ÉÄÜ·¢ËͶñÒâÒªÇó����£¬ÌìÉú´óÁ¿ÖÒ¸æÈÕÖ¾����£¬´Ó¶ø¿÷Ëðϵͳ×ÊÔ´²¢µ¼Ö»ؾø·þÎñ£¨DoS£©¹¥»÷���¡£ÓÉÓÚTornadoµÄÈÕÖ¾×ÓϵͳÊÇͬ²½µÄ����£¬·ì϶µÄÓ°Ïì½øÒ»²½¼Ó¾ç����£¬µ¼ÖÂÈÕÖ¾´¦ÖÃÑÓ³¤����£¬½ø¶øÓ°Ïìϵͳ»úÄÜ���¡£·ì϶¼¶±ð¸ßΣ����£¬·ì϶ÆÀ·Ö7.5·Ö���¡£
¶þ¡¢Ó°ÏìÁìÓò
Èý¡¢°²È«´ëÊ©
3.1 Éý¼¶°æ±¾
¹Ù·½ÒÑ°ä²¼°²È«¸üÐÂ����£¬½¨ÒéÊÜÓ°ÏìÓû§¾¡¿ìÉý¼¶µ½Tornado 6.5.0°æ±¾���¡£ÏÂÔØÁ´½Ó£ºhttps://github.com/tornadoweb/tornado/tags/3.2 һʱ´ëÊ©
3.3 ͨÓý¨Òé
? ¶¨ÆÚ¸üÐÂϵͳ²¹¶¡����£¬Ï÷¼õϵͳ·ì϶����£¬ÌáÉý·þÎñÆ÷µÄ°²È«ÐÔ���¡£? ¼ÓǿϵͳºÍÍøÂçµÄ½Ó¼û½ÚÔì����£¬Åú¸Ä·À»ðǽսÊõ����£¬¹Ø¹Ø·Ç±ØÒªµÄÀûÓö˿ڻò·þÎñ����£¬Ï÷¼õ½«Î£ÏÕ·þÎñ£¨ÈçSSH¡¢RDPµÈ£©Â¶³öµ½¹«Íø����£¬Ï÷¼õ¹¥»÷Ãæ���¡£? ʹÓÃÆóÒµ¼¶°²È«²úÆ·����£¬ÌáÉýÆóÒµµÄÍøÂ簲ȫ»úÄÜ���¡£? ¼ÓǿϵͳÓû§ºÍȨÏÞÖÎÀí����£¬ÆôÓöà³É·ÖÈÏÖ¤»úÔìºÍ×îÓ×ȨÏÞ×¼Ôò����£¬Óû§ºÍÈí¼þȨÏÞӦά³ÖÔÚ×îµÍÏÞ¶È���¡£? ÆôÓÃÇ¿ÃÜÂëÕ½Êõ²¢ÉèÖÃΪ¶¨ÆÚÅú¸Ä���¡£3.4 ²Î¿¼Á´½Ó
https://github.com/tornadoweb/tornado/tagshttps://github.com/tornadoweb/tornado/security/advisories/GHSA-7cx3-6m66-7c5mhttps://nvd.nist.gov/vuln/detail/CVE-2025-47287
¾©¹«Íø°²±¸11010802024551ºÅ