安全公告/【CVE-2023-24998】

基本信息

漏洞描述

Apache Commons FileUpload 包可以提供强大的、高性能的、文件上传能力。 Apache Commons FileUpload 存在安全漏洞，由于1.5 版本之前的Commons FileUpload对处理的请求部分的数量没有限制，攻击者有可能通过恶意上传或一系列上传触发 DoS。

修复方式

将 Commons FileUpload 升级到 1.5 及以上版本，下载地址：https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

漏洞判定

版本比对检测原理：检查当前系统中 Commons FileUpload 版本是否在受影响版本内|版本比对检测结果：- commons-fileupload
  当前安装版本：1.0
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/weblogic91/samples/server/medrec/lib/struts/commons-fileupload.jar
- commons-fileupload
  当前安装版本：1.0
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/weblogic91/samples/server/medrec/dist/physicianEar/APP-INF/lib/commons-fileupload.jar
- commons-fileupload
  当前安装版本：1.0
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/weblogic91/samples/server/medrec/build/medrecEar/APP-INF/lib/commons-fileupload.jar
- commons-fileupload
  当前安装版本：1.0
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/weblogic91/samples/server/medrec/build/physicianEar/APP-INF/lib/commons-fileupload.jar
- commons-fileupload
  当前安装版本：1.2.1
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/user_projects/domains/provdomain/WebRoot/WEB-INF/lib/commons-fileupload-1.2.1.jar
- commons-fileupload
  当前安装版本：1.2
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/user_projects/domains/provdomain

参考

CVE-2023-24998，，CWE-770，CNNVD-202302-1610