Scrapy 与 Brotli 解压缩漏洞导致拒绝服务攻击

漏洞详情

包管理器: pip

受影响包:

• Scrapy (pip) - 受影响版本: <= 2.13.3

• brotli (pip) - 受影响版本: <= 1.1.0

已修复版本:

• brotli: 1.2.0

• Scrapy: 暂无修复版本

漏洞描述

Brotli 1.1.0 及以下版本存在因解压缩导致的拒绝服务（DoS）攻击漏洞。该漏洞已在 Brotli 1.2.0 版本中得到修复。

此漏洞同时影响使用 Scrapy 框架并实施 Brotli 解压缩的用户，Scrapy 2.13.2 及以下版本均受影响。针对解压缩炸弹的保护机制无法有效缓解 brotli 变体攻击，远程服务器可通过特制数据使客户端崩溃，仅需不到 80GB 的可用内存。

漏洞产生的原因是 brotli 对零填充数据能够实现极高的压缩比，导致在解压缩过程中消耗过多内存。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-6176

• https://huntr.com/bounties/2c26a886-5984-47ee-a421-0d5fe1344eb0

• google/brotli#1327 (评论)

• google/brotli#1234

• google/brotli@67d78bc

• https://github.com/google/brotli/releases/tag/v1.2.0

• google/brotli#1327 (评论)

• google/brotli#1375

• github/advisory-database#6380

• scrapy/scrapy#7134

严重程度

高危 - CVSS 评分: 7.5/10

CVSS v3 基础指标

• 攻击向量: 网络

• 攻击复杂度: 低

• 所需权限: 无

• 用户交互: 无

• 范围: 未改变

• 机密性: 无影响

• 完整性: 无影响

• 可用性: 高影响

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱点分类

CWE-400: 不受控制的资源消耗

产品未能正确控制有限资源的分配和维护，使得攻击者能够影响资源消耗量，最终导致可用资源耗尽。

标识符

• CVE ID: CVE-2025-6176

• GHSA ID: GHSA-2qfp-q593-8484

源代码

google/brotli

致谢

smithcoin - 分析师更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享