• 漏洞编号：CVE-2025-62727
• 漏洞等级：高危
• 漏洞标签：关键漏洞、POC公开、影响万级
• 发布时间：2025-10-28

漏洞描述

Starlette 是一个轻量级的 ASGI 框架/工具包。在 0.49.1 之前，未经身份验证的攻击者可以发送经过精心构造的 HTTP Range 请求头，触发 Starlette 的 FileResponse Range 解析/合并逻辑中的二次方时间复杂度处理。这会导致每个请求消耗大量 CPU 资源，从而造成提供文件的端点（例如 StaticFiles 或任何使用 FileResponse 的情况）拒绝服务。此漏洞已在 0.49.1 版本中修复。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/426522