CVE-2026-49855 in Tornado
Riassunto
di VulDB • 14/07/2026
Tornado è un framework web Python e una libreria di networking asincrono. Prima della versione 6.5.6, le routine di decompressione gzip di Tornado elaboravano chunk di dimensioni limitate ma non imponevano un limite complessivo sui chunk decompressi accumulati, consentendo a un server malintenzionato accessibile tramite SimpleAsyncHTTPClient o a un HTTPServer configurato con decompress_request=True di consumare una quantità di memoria praticamente illimitata. Questo problema è stato risolto nella versione 6.5.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.