Vulnerability Details CVE-2026-31958
Tornado is a Python web framework and asynchronous networking library. In versions of Tornado prior to 6.5.5, the only limit on the number of parts in multipart/form-data is the max_body_size setting (default 100MB). Since parsing occurs synchronously on the main thread, this creates the possibility of denial-of-service due to the cost of parsing very large multipart bodies with many parts. This vulnerability is fixed in 6.5.5.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 14.7%
CVSS Severity
CVSS v3 Score 7.5
Products affected by CVE-2026-31958
-
cpe:2.3:a:tornadoweb:tornado:1.0
-
cpe:2.3:a:tornadoweb:tornado:1.0.1
-
cpe:2.3:a:tornadoweb:tornado:1.1
-
cpe:2.3:a:tornadoweb:tornado:1.1.1
-
cpe:2.3:a:tornadoweb:tornado:1.2
-
cpe:2.3:a:tornadoweb:tornado:1.2.1
-
cpe:2.3:a:tornadoweb:tornado:2.0
-
cpe:2.3:a:tornadoweb:tornado:2.1
-
cpe:2.3:a:tornadoweb:tornado:2.1.1
-
cpe:2.3:a:tornadoweb:tornado:2.2
-
cpe:2.3:a:tornadoweb:tornado:2.2.1
-
cpe:2.3:a:tornadoweb:tornado:2.3.0
-
cpe:2.3:a:tornadoweb:tornado:2.4.0
-
cpe:2.3:a:tornadoweb:tornado:2.4.1
-
cpe:2.3:a:tornadoweb:tornado:3.0.0
-
cpe:2.3:a:tornadoweb:tornado:3.0.1
-
cpe:2.3:a:tornadoweb:tornado:3.0.2
-
cpe:2.3:a:tornadoweb:tornado:3.1.0
-
cpe:2.3:a:tornadoweb:tornado:3.1.1
-
cpe:2.3:a:tornadoweb:tornado:3.2.0
-
cpe:2.3:a:tornadoweb:tornado:3.2.1
-
cpe:2.3:a:tornadoweb:tornado:3.2.2
-
cpe:2.3:a:tornadoweb:tornado:4.0.0
-
cpe:2.3:a:tornadoweb:tornado:4.0.1
-
cpe:2.3:a:tornadoweb:tornado:4.0.2
-
cpe:2.3:a:tornadoweb:tornado:4.1.0
-
cpe:2.3:a:tornadoweb:tornado:4.2.0
-
cpe:2.3:a:tornadoweb:tornado:4.2.1
-
cpe:2.3:a:tornadoweb:tornado:4.3.0
-
cpe:2.3:a:tornadoweb:tornado:4.4.0
-
cpe:2.3:a:tornadoweb:tornado:4.4.1
-
cpe:2.3:a:tornadoweb:tornado:4.4.2
-
cpe:2.3:a:tornadoweb:tornado:4.4.3
-
cpe:2.3:a:tornadoweb:tornado:4.5.0
-
cpe:2.3:a:tornadoweb:tornado:4.5.1
-
cpe:2.3:a:tornadoweb:tornado:4.5.2
-
cpe:2.3:a:tornadoweb:tornado:4.5.3
-
cpe:2.3:a:tornadoweb:tornado:5.0.0
-
cpe:2.3:a:tornadoweb:tornado:5.0.1
-
cpe:2.3:a:tornadoweb:tornado:5.0.2
-
cpe:2.3:a:tornadoweb:tornado:5.1.0
-
cpe:2.3:a:tornadoweb:tornado:5.1.1
-
cpe:2.3:a:tornadoweb:tornado:6.0.0
-
cpe:2.3:a:tornadoweb:tornado:6.0.1
-
cpe:2.3:a:tornadoweb:tornado:6.0.2
-
cpe:2.3:a:tornadoweb:tornado:6.0.3
-
cpe:2.3:a:tornadoweb:tornado:6.0.4
-
cpe:2.3:a:tornadoweb:tornado:6.1.0
-
cpe:2.3:a:tornadoweb:tornado:6.2.0
-
cpe:2.3:a:tornadoweb:tornado:6.3.0
-
cpe:2.3:a:tornadoweb:tornado:6.3.1
-
cpe:2.3:a:tornadoweb:tornado:6.3.2
-
cpe:2.3:a:tornadoweb:tornado:6.3.3
-
cpe:2.3:a:tornadoweb:tornado:6.4.0
-
cpe:2.3:a:tornadoweb:tornado:6.4.1
-
cpe:2.3:a:tornadoweb:tornado:6.4.2
-
cpe:2.3:a:tornadoweb:tornado:6.5.0
-
cpe:2.3:a:tornadoweb:tornado:6.5.1
-
cpe:2.3:a:tornadoweb:tornado:6.5.2
-
cpe:2.3:a:tornadoweb:tornado:6.5.3
-
cpe:2.3:a:tornadoweb:tornado:6.5.4