Apache Commons FileUpload (CVE-2016-1000031, CVE-2016-3092, CVE-2023-24998, CVE-2025-48976)

Betroffene Produkte:

• jadice server 5.16.*

• jadice server 5.15.*:

Herkunft:

Die CVE stammt aus der Dependency Apache Commons FileUpload der Version 1.3.1.

Auswirkung & Informationen zur CVE:

Über die Klasse “MultipartStream” in Apache Commons FileUpload Version 1.3.1. können remote Denial of Service Angriffe über lange boundary Strings erfolgen.

Außerdem ist die Anzahl der Request Parts die verarbeitet werden nicht begrenzt, wodurch ebenso DoS Angriffe möglich sind.

Eine weitere Gefahr eines DoS Angriffs besteht mit der Apache Commons FileUpload Version 1.3.1., durch die Zuweisung von Ressourcen zu Multipart Headern mit ungenügend Limit.

Weitere Informationen können Sie unter folgenden Links finden:

• https://nvd.nist.gov/vuln/detail/CVE-2016-1000031

• https://nvd.nist.gov/vuln/detail/cve-2016-3092

• https://nvd.nist.gov/vuln/detail/cve-2023-24998

• https://nvd.nist.gov/vuln/detail/CVE-2025-48976

Bewertung & Abhilfe:

Die CVEs können über unsere Produkte nicht ausgenutzt werden. Hintergrund ist, dass Apache Commons FileUpload nur in einem Soap Code Beispiel in der Dokumentation verwendet wird.