安全公告/【CVE-2023-24998】
基本信息
漏洞名称:FastJSON<=1.2.66 AnterosDBCPConfig 远程代码执行漏洞
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:apache-commons-fileupload
CVSS评分:7.5
发现日期:2024-09-19
修复日期:2024-10-16
漏洞描述
Apache Commons FileUpload 1.5 之前的版本不限制要处理的请求部分的数量,这导致攻击者可能通过恶意上传或一系列上传触发 DoS。 请注意,与所有文件上传限制一样, 新的配置选项 (FileUploadBase#setFileCountMax) 默认情况下不启用,必须明确配置。
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.66|版本比对检测结果:- fastjson 当前安装版本:1.1.24 应用相关信息: - 进程PID:22589 - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/fastjson-1.1.24.jar 该主机存在此漏洞
修复方式
软件包升级 dnf install apache-commons-fileupload