製品・ソフトウェアに関する情報
Vulnerability Search
Tornadoのmultipart/form-dataパーサにリモートDoS攻撃を許す脆弱性
Title Tornadoのmultipart/form-dataパーサにリモートDoS攻撃を許す脆弱性
Summary

Tornadoは、PythonのWebフレームワークおよび非同期ネットワーキングライブラリです。Tornadoの「multipart/form-data」パーサは、特定のエラーに遭遇した際、警告をログに記録した後もデータの残りの解析処理を続行します。この動作により、リモートの攻撃者が非常に大量のログを生成でき、サービス拒否(DoS)攻撃が発生する可能性があります。また、ログ記録サブシステムが同期的であるため、このDoSがさらに深刻化する場合があります。Tornadoのバージョン6.5.0未満の全てが影響を受けており、脆弱なパーサはデフォルトで有効化されています。パッチを適用するには、Tornadoをバージョン6.5.0へアップグレードしてください。回避策として、プロキシで「Content-Type: multipart/form-data」をブロックすることでリスクを軽減できます。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 15, 2025, midnight
Registration Date Dec. 25, 2025, 4:58 p.m.
Last Update Dec. 25, 2025, 4:58 p.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Affected System
Debian
Debian GNU/Linux 11.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2025年12月25日]
  掲載		 Dec. 25, 2025, 4:58 p.m.
NVD Vulnerability Information
CVE-2025-47287
Summary

Tornado is a Python web framework and asynchronous networking library. When Tornado's ``multipart/form-data`` parser encounters certain errors, it logs a warning but continues trying to parse the remainder of the data. This allows remote attackers to generate an extremely high volume of logs, constituting a DoS attack. This DoS is compounded by the fact that the logging subsystem is synchronous. All versions of Tornado prior to 6.5.0 are affected. The vulnerable parser is enabled by default. Upgrade to Tornado version 6.50 to receive a patch. As a workaround, risk can be mitigated by blocking `Content-Type: multipart/form-data` in a proxy.

Publication Date May 16, 2025, 7:15 a.m.
Registration Date May 17, 2025, 4 a.m.
Last Update May 16, 2025, 7:15 a.m.
Related information, measures and tools
Common Vulnerabilities List