关键信息 漏洞概要 漏洞名称: Brotli decompression bomb DoS in scrapy/scrapy CVE ID: CVE-2025-6176 提交日期: Jun 15th 2025 状态: Valid 漏洞类型: CWE-400: Denial of Service 严重性: High (7.5) 受影响版本: <=2.13.2 发现者: Cycloctane 描述 Scrapy的编码实现对Brotli解压缩炸弹脆弱。其保护措施无法缓解Brotli变种,允许恶意服务器对客户端执行DoS攻击。 细节 Scrapy通过读取64KB块的原始数据并在每次解压缩后检查输出大小来保护自己免受Brotli解压缩炸弹的影响。然而,Brotli对零填充数据具有极高压缩比,单个64KB块可以解压缩为超过80GB的数据,触发大多数系统的OOM。 概念验证 1. 生成压缩炸弹 2. 在服务器上提供 3. 使Scrapy访问此站点 影响 远程服务器可以导致可用内存小于80GB的Scrapy客户端崩溃。 出现情况 _compression.py L32-L38 _compression.py L45 _compression.py L88-L104 其他信息 Github Issue请求维护者创建一个SECURITY.md存在。 一个关于延长发布时间线的讨论。