1.漏洞概述

监测到Apache Commons FileUpload 拒绝服务漏洞，漏洞编号为CVE-2023-24998，漏洞威胁等级：高危。

2.漏洞详情

Apache Commons FileUpload 包可以轻松地为您的 servlet 和 Web 应用程序添加强大的、高性能的文件上传功能。 Apache Commons FileUpload 不限制要处理的请求部分的数量，导致攻击者有可能通过恶意上传或一系列上传触发 DoS。 注意：Apache Tomcat使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此，Apache Tomcat也容易受到Apache Commons FileUpload漏洞CVE-2023-24998的攻击，因为处理的请求部分数量没有限制。

3.影响版本

Apache Commons FileUpload 1.0-beta-1 到 1.4

Apache Tomcat 11.0.0-M1 Apache Tomcat 10.1.0-M1 到 10.1.4

Apache Tomcat 9.0.0-M1到9.0.70

Apache Tomcat 8.5.0 到 8.5.84

4.处置建议

厂商已发布了漏洞修复程序，安全版本如下：

Apache Commons FileUpload >= 1.5

Apache Tomcat 11.0.0-M3及以上版本

Apache Tomcat 10.1.5及以上版本

Apache Tomcat 9.0.71及以上版本

Apache Tomcat 8.5.85及以上版本

最新版官方下载链接：

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

   https://tomcat.apache.org/download-11.cgi

   https://tomcat.apache.org/download-10.cgi

   https://tomcat.apache.org/download-90.cgi

   https://tomcat.apache.org/download-80.cgi

中共烟台市委网络安全和信息化委员会办公室

2023年2月24日