CVE-2026-49855 in Tornado
요약
\~에 의해 VulDB • 2026. 07. 15.
Tornado는 Python 웹 프레임워크이자 비동기 네트워킹 라이브러리입니다. 버전 6.5.6 이전의 Tornado gzip 압축 해제 루틴은 제한된 크기의 청크를 처리했지만, 누적된 압축 해제 후 데이터에 대한 전체 한도를 강제하지 않아, SimpleAsyncHTTPClient가 접근하거나 decompress_request=True로 구성된 HTTPServer를 통해 악성 서버에 접속할 경우 사실상 무제한 메모리를 소모할 수 있었습니다. 이 문제는 버전 6.5.6에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.