CVE-2025-48976_ Apache Commons FileUpload 安全漏洞

CVSS评分:7.5

CVE-2025-48976_ Apache Commons FileUpload 安全漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

CVE‑2025‑48976 是 Apache Commons FileUpload 库中的一个 拒绝服务(DoS)漏洞。该库常用于 Java Web 框架(如 Tomcat、WebSphere、IBM 产品等)处理 multipart/form‑data 请求(即文件上传请求)

引用此库的组件均受漏洞影响,该漏洞可远程触发且无需认证

受影响版本

  • 1.0 ≤ 版本 < 1.6
  • 2.0.0‑M1 ≤ 版本 < 2.0.0‑M4

Commons FileUpload 对 multipart 请求的 headers 分配资源没有有效限制

  • 库原本对每个 multipart 部件的 header 大小使用 固定约 10 KB 限制;
  • 攻击者可生成含大量 multipart 部件(每个带相对较大 header)的请求;
  • 服务器在解析时分配大量内存来保存这些 header,最终耗尽资源、导致服务崩溃或无法响应。

2. 漏洞危害

该漏洞实际范围很广,只要应用依赖未修复的 FileUpload 版本就可能受影响,成功触发漏洞可导致 DOS 攻击,建议立即修复此漏洞

微步定义为低风险,暂未发现恶意的漏洞利用行为,但已存在公开的poc,漏洞利用成本极低:

3. 漏洞修复

升级版本修复:

  • 将 Apache Commons FileUpload 升级到 1.6 或更高
  • 对 2.x 系列升级到 2.0.0‑M4 或更高版本
相关推荐
零零信安15 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手15 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub15 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
小小龙学IT15 天前
Apache Airflow 2.x 深度指南:用 Python 编排一切的现代化工作流引擎
开发语言·python·apache
爱网络爱Linux15 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc15 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
Shepherd061915 天前
【IT 运维】Apache 使用 mod_remoteip 恢复 Cloudflare 后的真实访客 IP
运维·tcp/ip·apache
持敬chijing15 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
isyangli_blog15 天前
SDN 基本应用实践 —— 使用命令行实现简易防火墙功能实验报告
服务器·php·apache
Chengbei1115 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss