关于Tornado日志解析器拒绝服务漏洞 (CVE-2025-47287)的安全预警

一、 基本情况

Tornado是一个高性能的Web框架和异步网络库，专为处理大规模并发连接设计。它支持非阻塞I/O，能够处理成千上万的连接，适用于实时Web应用程序。Tornado提供了一个简单易用的Web服务器，并支持WebSockets、长轮询等协议，广泛用于构建高效的实时通信系统。它适用于需要高吞吐量和低延迟的场景，如聊天应用、推送通知等。

二、 漏洞描述

Tornado官方发布的安全公告，指出Tornado的multipart/form-data解析器存在日志拒绝服务漏洞。该解析器在默认启用的情况下，当遇到特定错误时，会记录警告信息并继续解析后续数据。这种处理方式使攻击者能够发送恶意请求，生成大量警告日志，从而消耗系统资源并导致拒绝服务（DoS）攻击。由于Tornado的日志子系统是同步的，漏洞的影响进一步加剧，导致日志处理延迟，进而影响系统性能。漏洞级别高危，漏洞评分7.5分。

三、 影响范围

Tornado <= 6.4.2

四、 修复建议

官方已发布安全更新，建议受影响用户尽快升级到Tornado 6.5.0版本。

下载链接：https://github.com/tornadoweb/tornado/tags/

五、 参考链接

https://github.com/tornadoweb/tornado/tags

https://github.com/tornadoweb/tornado/security/advisories/GHSA-7cx3-6m66-7c5m

https://nvd.nist.gov/vuln/detail/CVE-2025-47287