Fecha de publicación: 21/02/2023
Importancia:
Alta
Recursos afectados:
- Apache Commons FileUpload, versiones desde 1.0-beta-1 hasta 1.4.
- Apache Tomcat, versiones:
- desde 8.5.0 hasta 8.5.84;
- desde 9.0.0-M1 hasta 9.0.70;
- desde 10.1.0-M1 hasta 10.1.4.
Descripción:
El investigador, Jakob Ackermann, ha reportado al equipo de seguridad de Apache Commons una vulnerabilidad, de severidad alta, cuya explotación podría permitir a un atacante desencadenar un DoS mediante la subida de archivos maliciosos.
Solución:
Actualizar a las siguientes versiones:
- Apache Commons FileUpload: 1.5 o posteriores.
- Apache Tomcat:
- 8.5.85;
- 9.0.71;
- 10.1.5.
Detalle:
Apache Tomcat utiliza una copia de Apache Commons FileUpload para proporcionar la funcionalidad de carga de archivos definida en la especificación Jakarta Servlet. Por lo tanto, Apache Tomcat también era vulnerable, ya que no establecía límite en el número de partes de peticiones procesadas, posibilitando que un atacante desencadenara una condición de denegación de servicio (DoS) con una o varias subidas de ficheros maliciosos. Se ha asignado el identificador CVE-2023-24998 para esta vulnerabilidad.
Etiquetas:
Actualización, Apache, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.