CVE-2026-49855 in Tornado
要約
〜によって VulDB • 2026年07月15日
TornadoはPythonのWebフレームワークおよび非同期ネットワークライブラリです。バージョン6.5.6より前では、Tornadoのgzip解凍ルーチンはサイズ制限のあるチャンクを処理していましたが、蓄積された解凍済みチャンクの合計に対する全体の上限値を強制しなかったため、SimpleAsyncHTTPClientによってアクセスされるか、decompress_request=Trueで構成されたHTTPServerを通じて悪意あるサーバーに接続した場合、事実上無制限のメモリが消費される可能性があります。この問題はバージョン6.5.6で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.