CVE-2026-49855 in Tornado
Sumário
de VulDB • 15/07/2026
O Tornado é um framework web em Python e uma biblioteca de rede assíncrona. Antes da versão 6.5.6, as rotinas de descompressão gzip do Tornado processavam blocos de tamanho limitado, mas não impunham um limite global sobre os blocos descomprimidos acumulados, permitindo que um servidor malicioso acessado pelo SimpleAsyncHTTPClient ou por um HTTPServer configurado com decompress_request=True consumisse memória efetivamente ilimitada. Este problema foi corrigido na versão 6.5.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.