【漏洞情报】Scrapy与Brotli解压缩漏洞导致拒绝服务攻击

漏洞详情

包管理器: pip

受影响包:

Scrapy (pip) - 受影响版本: <= 2.13.3

brotli (pip) - 受影响版本: <= 1.1.0

已修复版本:

brotli: 1.2.0

Scrapy: 暂无修复版本

漏洞描述

Brotli 1.1.0及以下版本存在因解压缩导致的拒绝服务（DoS）攻击漏洞。该漏洞已在Brotli 1.2.0版本中得到修复。

此漏洞同时影响使用Scrapy框架并实施Brotli解压缩的用户，Scrapy 2.13.2及以下版本均受影响。针对解压缩炸弹的保护机制无法有效缓解brotli变体攻击，远程服务器可通过特制数据使客户端崩溃，仅需不到80GB的可用内存。

漏洞产生的原因是brotli对零填充数据能够实现极高的压缩比，导致在解压缩过程中消耗过多内存。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-6176

https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0

google/brotli#1327 (评论)

google/brotli#1234

google/brotli@67d78bc

https://github.com/google/brotli/releases/tag/v1.2.0

google/brotli#1327 (评论)

google/brotli#1375

github/advisory-database#6380

scrapy/scrapy#7134

严重程度

高危 - CVSS评分: 7.5/10

CVSS v3基础指标

攻击向量: 网络

攻击复杂度: 低

所需权限: 无

用户交互: 无

范围: 未改变

机密性: 无影响

完整性: 无影响

可用性: 高影响

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱点分类

CWE-400: 不受控制的资源消耗

产品未能正确控制有限资源的分配和维护，使得攻击者能够影响资源消耗量，最终导致可用资源耗尽。

标识符

CVE ID: CVE-2025-6176

GHSA ID: GHSA-2qfp-q593-8484

源代码

https://github.com/google/brotli.git