Wichtig
#28684
DoS-Sicherheitslücke in Apache Commons FileUpload (CVE-2025-48976)
In der aktuell verwendeten Version der Bibliothek Apache Commons FileUpload besteht eine Sicherheitslücke (CVE-2025-48976), die es Angreifern ermöglicht, durch gezielt platzierte multipart-Header eine Denial-of-Service-Attacke (DoS) auszulösen. Grund dafür ist die unzureichende Begrenzung von Ressourcen beim Parsen multipart-Headern.
Betroffen sind die Versionen:
1.x vor 1.6
2.0.0-M1 bis vor 2.0.0-M4
Die Sicherheitslücke wird durch ein Upgrade auf Version 2.0.0-M4 behoben.
Hinweis zur neuen Version
Ab Version 2.0.0-M4 wurde eine neue Schutzmaßnahme von Apache eingeführt: das Konfigurationsfeld partHeaderSizeMax, das die maximale Größe einzelner multipart-Header limitiert (Standard: 512 Byte). Dadurch werden überlange Header frühzeitig verworfen, was DoS-Angriffe verhindert. Falls Upload-Clients besonders große Header senden (z. B. bei umfangreichen Metadaten), kann dieser Wert bei Bedarf über die Factory-Konfiguration angepasst werden.