Se han reportado nuevos avisos de seguridad sobre una vulnerabilidad que afecta a Apache Commons y Apache Tomcat, que permitiría a un atacante realizar denegación de servicio (DoS) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-24998, de severidad “Alta”, sin una puntuación asignada. Esta vulnerabilidad se debe a la validación incorrecta de datos de entrada en la función de subida de archivos (FileUpload) de Jakarta Servlet. Esto permitiría a un atacante, a través de subida de archivos maliciosos desencadenar una condición de denegación de servicio (DoS) en el sistema afectado.
Los productos afectados son:
- Apache Commons FileUpload, versiones desde 1.0-beta-1 hasta 1.4.
- Apache Tomcat, versiones desde 8.5.0 hasta 8.5.84, desde 9.0.0-M1 hasta 9.0.70 y desde 10.1.0-M1 hasta 10.1.4.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/denegacion-servicio-apache-tomcat-0
- https://nvd.nist.gov/vuln/detail/CVE-2023-24998
- https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5
- https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi