漏洞描述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 Apache Tomcat 使用 Apache Commons FileUpload 的打包重命名副本来提供 Jakarta Servlet 规范中定义的文件上传功能。因此Apache Tomcat 也容易受到 Apache Commons FileUpload 漏洞CVE-2023-24998的影响，因为对处理的请求部分的数量没有限制。这导致攻击者有可能通过恶意上传或一系列上传触发 DoS。

基本信息

· CVE编号：CVE-2023-24998

· 漏洞类型：拒绝服务攻击

· 危险等级：高危

·受影响应用版本：Tomcat 11.0.0-M1、10.1.0-M1 - 10.1.4、9.0.0-M1 - 9.0.70、8.5.0 - 8.5.84

· 检测方式：版本对比

· 是否加入全局：是

· 公布时间： 2023-01-13

· 风险特征：远程利用

· CVSS评分： 8

· CVSS详情：

修复建议

将Tomcat 升级到 11.0.0-M3、10.1.5、9.0.71、8.5.85 及以上版本，下载地址：http://archive.apache.org/dist/tomcat