Con fecha 21 de febrero del 2023, el investigador Jakob Ackermann, ha reportado al equipo de seguridad de Apache Commons una vulnerabilidad, de severidad alta, cuya explotación podría permitir a un atacante desencadenar un DoS (Ataque de Denegación de Servicios) mediante la subida de archivos maliciosos.

Apache Tomcat utiliza una copia de Apache Commons FileUpload para proporcionar la funcionalidad de carga de archivos definida en la especificación Jakarta Servlet. Por lo tanto, Apache Tomcat también era vulnerable, ya que no establecía límite en el número de partes de peticiones procesadas, posibilitando que un atacante desencadenara una condición de Denegación de Servicio con una o varias subidas de ficheros maliciosos. Se ha asignado el identificador CVE-2023-24998 para esta vulnerabilidad.

Recursos afectados

Apache Commons FileUpload, versiones desde 1.0-beta-1 hasta 1.4.

Apache Tomcat, versiones:

• desde 8.5.0 hasta 8.5.84;
• desde 9.0.0-M1 hasta 9.0.70;
• desde 10.1.0-M1 hasta 10.1.4.

Solución:

Actualizar a las siguientes versiones:

• Apache Commons FileUpload: 1.5 o posteriores.
• Apache Tomcat:
• 8.5.85;
• 9.0.71;
• 10.1.5.

Referencias:

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5
https://lists.apache.org/thread/4xl4l09mhwg4vgsk7dxqogcjrobrrdoy