Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00250

Опубликовано: 14 июн. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость фреймворка для веб-краулинга Scrapy связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Scrapinghub, Ltd.

Наименование ПО

Scrapy

Версия ПО

до 2.13.2 включительно (Scrapy)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00024
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-6176

CVSS3: 7.5
ubuntu
3 месяца назад

Scrapy versions up to 2.13.2 are vulnerable to a denial of service (DoS) attack due to a flaw in its brotli decompression implementation. The protection mechanism against decompression bombs fails to mitigate the brotli variant, allowing remote servers to crash clients with less than 80GB of available memory. This occurs because brotli can achieve extremely high compression ratios for zero-filled data, leading to excessive memory consumption during decompression.

nvd логотип

CVE-2025-6176

CVSS3: 7.5
nvd
3 месяца назад

Scrapy versions up to 2.13.2 are vulnerable to a denial of service (DoS) attack due to a flaw in its brotli decompression implementation. The protection mechanism against decompression bombs fails to mitigate the brotli variant, allowing remote servers to crash clients with less than 80GB of available memory. This occurs because brotli can achieve extremely high compression ratios for zero-filled data, leading to excessive memory consumption during decompression.

debian логотип

CVE-2025-6176

CVSS3: 7.5
debian
3 месяца назад

Scrapy versions up to 2.13.2 are vulnerable to a denial of service (Do ...

github логотип

GHSA-2qfp-q593-8484

CVSS3: 7.5
github
3 месяца назад

Scrapy is vulnerable to a denial of service (DoS) attack due to flaws in brotli decompression implementation

EPSS

Процентиль: 6%
0.00024
Низкий

7.5 High

CVSS3

7.8 High

CVSS2