CVE-2026-49855 in Tornado
Resumen
por VulDB • 2026-07-15
Tornado es un framework web en Python y una biblioteca de redes asíncronas. Antes de la versión 6.5.6, las rutinas de descompresión gzip de Tornado procesaban fragmentos (chunks) de tamaño limitado pero no imponían un límite global sobre los fragmentos descomprimidos acumulados, lo que permitía a un servidor malicioso al que accediera SimpleAsyncHTTPClient o a un HTTPServer configurado con decompress_request=True consumir efectivamente una cantidad ilimitada de memoria. Este problema se corrige en la versión 6.5.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.