关键信息 漏洞名称: Remote Denial of Service via Thread/Connection Exhaustion (Slowloris) CVE ID: CVE-2026-27630 GHSA ID: GHSA-ccv5-8948-c99c 严重性: 高 (8.7/10) 受影响的版本 Version < 2.02 已修复的版本 Version 2.02 描述 影响: TinyWeb 服务器对 Slowloris 攻击有远程拒绝服务 (DoS) 的漏洞,表现为对于每一个新连接没有限制并发性或合理的请求超时,导致远程未经认证的攻击者能够通过频繁打开多个连接并异常慢速地发送数据(例如,每几分钟发一个字节)来耗尽服务器的并发性和内存。 修复措施: 版本 2.02 修复了该问题,新版本通过 commit 73268c8 引入了一个 限制(设置为 512)和 限制(设置为 30 秒)。 临时解决方法: 在短期内无法升级的情况下,可以考虑将服务器置于 Nginx、HAProxy 或 Cloudflare 类型的反向代理或 Web 应用防火墙之后,配置其对不完整请求缓冲和严格一个连接限制及超时强制执行。 引用 相关 CVE: - CVE-400: Uncontrolled Resource Consumption (https://cwe.mitre.org/data/definitions/400.html) - CVE-2007-6750: Apache HTTP Server Slowloris (https://nvd.nist.gov/vuln/detail/CVE-2007-6750) - CVE-2023-25690: Apache HTTP Server Request Smuggling/Slow DoS (https://nvd.nist.gov/vuln/detail/CVE-2023-25690) - CVE-2022-29361: Nginx Slow DoS Equivalent (https://nvd.nist.gov/vuln/detail/CVE-2022-29361) - CVE-2026-27630: TinyWeb Thread/Connection Exhaustion (Slowloris) Security Advisory (https://www.masiutin.net/tinyweb-cve-2026-27630.html)