Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Tornado 是一个 Python Web 框架和异步网络库。在 6.5.2 和更低版本中提供的原因短语会以非转义方式在 HTTP 标头中使用其可用于标头注入或在默认错误页面的 HTML 中其可用于 XSS中使用通过传递在 reason 参数中添加了不受信任或恶意的数据。由 RequestHandler.set_status 和 tornado.web.HTTPError 两者使用时该参数设计为允许应用程序将自定义原因短语Not Found in HTTP/1.1 404 Not Found传递到 HTTP 状态行主要针对非标准状态code。
    此问题已在 6.5.3 版本中修复。(CVE-2025-67724)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2025-67724

medium Nessus 插件 ID 278567

版本 1.2